HomeKit : la sécurité de la maison Apple se fissure

Nicolas Furno | | 21:35 |  29

L’affaire a fait grand bruit au début du mois, et pour cause. HomeKit, le protocole de domotique d’Apple censé être le plus sûr de l’industrie, contenait une faille permettant à n’importe qui de contrôler n’importe quel accessoire à distance. Autant dire qu’à l’heure où l’on utilise des caméras de surveillance et même des serrures connectées, c’était une faille de sécurité majeure.

Photo Khaos Tian. Cliquer pour agrandir
Photo Khaos Tian. Cliquer pour agrandir

Fort heureusement, la faille a apparemment été corrigée avant qu'une personne malintentionnée ne l'exploite. Tout est bien qui finit bien en somme, mais la gestion du problème a laissé à désirer. C'est ce que raconte Khaos Tian, le développeur qui a découvert la faille. Le moins que l’on puisse dire, c’est que ce n’est pas glorieux pour Apple…

HomeKit, un majordome qui ouvre la porte à n’importe qui

Jusque-là, on ne savait pas exactement en quoi consistait cette faille de sécurité, si ce n’est qu’elle permettait à n’importe qui de contrôler un appareil HomeKit à distance, sans y avoir été autorisé préalablement. Sans dévoiler exactement ses secrets pour des raisons de sécurité, Khaos Tian explique un petit peu plus longuement comment la faille fonctionnait.

Rappelons que l’une des fonctions proposées par HomeKit est un accès distant aux appareils connectés chez vous, via un concentrateur qui est en général une Apple TV. Vous pouvez ainsi vérifier si vos lampes sont bien éteintes, gérer le chauffage, ou encore surveiller votre domicile depuis n’importe où en utilisant un appareil iOS associé à votre compte iCloud. Cette même fonction permet aussi d’inviter d’autres personnes à accéder au réseau domotique, de quoi permettre à toute la famille d’utiliser ces fonctions d’automatisation.

Depuis iOS 10, HomeKit peut être partagé avec d’autres utilisateurs. L’idée étant de permettre à tous les membres d’un foyer d’accéder aux appareils et de les contrôler. Cliquer pour agrandir
Depuis iOS 10, HomeKit peut être partagé avec d’autres utilisateurs. L’idée étant de permettre à tous les membres d’un foyer d’accéder aux appareils et de les contrôler. Cliquer pour agrandir

Pour permettre un échange sécurisé et distant, Apple a mis en place des serveurs de communication spécifiques à HomeKit qui fonctionnent sur le même modèle que ceux dédiés à iMessage. D’ailleurs, la communication entre les utilisateurs et les appareils, et entre les appareils eux-mêmes, se fait sous la forme de messages chiffrés.

Quand vous voulez accéder au statut d’une ampoule connectée, votre iPhone envoie un message au serveur HomeKit, qui le transmet ensuite à l’Apple TV placée chez vous. Si une réponse est attendue, elle transite de la même manière, via les serveurs d’Apple.

Avec un Apple TV chez vous, vous pouvez accéder aux équipements HomeKit depuis un appareil distant. De quoi, par exemple, ouvrir la porte à distance (image Apple). Cliquer pour agrandir
Avec un Apple TV chez vous, vous pouvez accéder aux équipements HomeKit depuis un appareil distant. De quoi, par exemple, ouvrir la porte à distance (image Apple). Cliquer pour agrandir

En théorie, HomeKit devrait vérifier que l’expéditeur du message est autorisé à accéder aux appareils du domicile et seulement agir ensuite. La faille commence ici : Apple avait oublié cette étape de vérification et le concentrateur HomeKit à votre domicile répondait à chaque message, sans vérifier son expéditeur. En soi, cette faille est déjà très gênante, mais elle ne suffit pas, puisqu’il y a une deuxième sécurité. Chaque appareil HomeKit est associé à un identifiant unique généré lors de l’installation et qui est trop complexe pour être deviné.

Toujours en théorie donc, même si HomeKit répond à chaque requête sans en vérifier l’origine, cela n’a aucune conséquence réelle, puisque l’identifiant unique des appareils connectés n’est pas connu. Sauf qu’il y avait deux failles de sécurité en une, et qu’un bug dans watchOS 4.0 et watchOS 4.1 permettait de connaître tous les identifiants associés à un domicile HomeKit, même sans autorisation.

C’est la combinaison de ces deux failles qui était fatale. Un malandrin pouvait envoyer un message à n’importe quel utilisateur HomeKit sans se faire rejeter, d’une part. D’autre part, en envoyant un message spécifique depuis une montre sous watchOS 4.0 ou 4.1, il pouvait obtenir la liste exhaustive des appareils HomeKit enregistrés. En combinant les deux, il pouvait alors gagner un accès total à la domotique de n’importe quel utilisateur.

Khaos Tian a créé un prototype pour exploiter sa faille. Ici, la liste des commandes qui pouvaient être envoyées sans aucune authentification préalable. Cliquer pour agrandir
Khaos Tian a créé un prototype pour exploiter sa faille. Ici, la liste des commandes qui pouvaient être envoyées sans aucune authentification préalable. Cliquer pour agrandir

Apple a réagi rapidement en corrigeant d’abord la faille de watchOS côté serveur. Le correctif était assez simple : seul le compte iCloud qui avait créé la configuration HomeKit pouvait envoyer des requêtes au serveur depuis une Apple Watch. Et avec watchOS 4.2, les sécurités ont été renforcées sur la montre pour restaurer l’ancien fonctionnement et permettre aux autres comptes iCloud autorisés d’utiliser HomeKit depuis la montre.

Par la suite, iOS 11.2.1 et tvOS 11.2.1 ont aussi complètement comblé la faille de sécurité en vérifiant que chaque message reçu de la part des serveurs HomeKit provient bien d’un utilisateur autorisé.

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


29 Commentaires Signaler un abus dans les commentaires

avatar arowbase 25/12/2017 - 21:39 via iGeneration pour iOS

« Naturellement, ce n’est pas tout à fait aussi simple : il faut traiter toutes les informations reçues, séparer le grain de l’ivraie, juger la validité et ensuite la dangerosité réelle de chaque faille exposée. C’est un sacré travail, c’est vrai, mais Apple a tous les moyens imaginables à sa disposition pour mettre en place une équipe dédiée à cette tâche. Ou alors, pour proposer systématiquement à tous ceux qui remontent de vraies failles de venir travailler à Cupertino et être payé pour continuer ce travail. »

« Le trésor de guerre d'Apple s'enrichit de 3,6 millions de dollars par heure »

Juste un mot, un seul : BORDEL.

avatar frankm 25/12/2017 - 21:39 via iGeneration pour iOS

Mise à jour à la maison : barillet blindé Bricard

avatar CorbeilleNews 26/12/2017 - 04:17 via iGeneration pour iOS (edité)

@frankm

Sur tous les ouvrants et verre triple vitrage a film et ... ... 😃😉

avatar frankm 26/12/2017 - 08:02 via iGeneration pour iOS

@CorbeilleNews

Tous les ouvrants

avatar Byakko 25/12/2017 - 21:43 via iGeneration pour iOS

Et les AppleTv 3 qui servaient de concentrateur HomeKit ? Elles vont avoir droit à leur mise à jour aussi ? Parce pour l'instant les ponts sont toujours coupés

avatar DeluxePainter 25/12/2017 - 21:51 via iGeneration pour iOS

Il y a du ridicule chez Apple. Ça n’est vraiment pas sérieux.

avatar oomu 25/12/2017 - 21:57

moui, d'un autre autre côté Apple ne communiquant pas , on ne sait rien de leur planning et de la complexité réelle de la correction.

Bref, mieux vaut ne pas se compliquer la vie avec de la domotique et serveurs tiers et tout le tralala.

avatar Le Gognol 25/12/2017 - 22:05 via iGeneration pour iOS

J’avais compris que pour exploiter cette faille, il fallait être connecter au compte iCloud de l’utilisateur :

https://www.igen.fr/ios/2017/12/apple-soccupe-dune-grosse-faille-de-secu...

Finalement ce n’était pas le cas ?

avatar marc_os 25/12/2017 - 22:48

« le constructeur ne semblait pas s’en alarmer et préférait apparemment prendre son temps pour combler la faille »
Faites ce que je dis, mais pas ce que je fais: Cf. macg, igen, et watchgeneration trois sites en apparence identiques, mais qui sont en réalité trois sites différents avec des comportements différents quant à la rédaction des commentaires. Développement par copier / coller ? Même pas, sinon on aurait les mêmes possibilités.

Ceci dit, après que ce développeur ait fait comprendre à Apple qu'ils avaient merdé dans leur correction trop rapide, je pense qu'Apple a au contraire bien fait de « prendre son temps » afin de délivrer enfin une correction fiable !

avatar Pat4e5 25/12/2017 - 23:00 via iGeneration pour iOS

@marc_os

Heu.. mais c'est quoi ton problème ?

avatar marc_os 26/12/2017 - 01:55 via iGeneration pour iOS

@Pat4e5 :
Mon problème ?
Les donneurs de leçons qui montent les problèmes corrigés n'ayant touché personne en épingle et qui feraient bien de commencer par balayer devant leur propre porte (cf. aussi pub qui fait planter leur App).

avatar macinoe 25/12/2017 - 23:56

c’est bien.
Je vois que tu parviens très bien à hierarchiser les risques...

Sans rire... Bon, joyeux Noël quand même

avatar marc_os 26/12/2017 - 01:57 via iGeneration pour iOS

@macinoe :
Combien de personnes ont-elles été touchées par la faille ?
Crier au loup à tort et à travers n'a jamais été une bonne stratégie de sécurité.
Mais là n'était pas l'objet de ma réponse. La tienne est donc hors sujet par rapport à ce que j'ai écrit - cf. ce que je viens d'y mettre en gras et en italique. (Je précise, car visiblement il faut mettre les points sur les "i" pour avoir une infime chance d'être compris ici).

avatar 8enoit 26/12/2017 - 11:55 via iGeneration pour iOS

@marc_os :
« Combien de personnes ont-elles été touchées par la faille? »

En sécurité, ce genre de critère n’est absolument pas valable. Il s’agit de gestion des risques, pas de réparation de dommage.

Si vous étiez pilote d’avion, jamais je ne monterais à bord d’un engin que vous conduisez.
Si vous étiez moniteur de ski, jamais je ne vous confierais mes enfants.
Car au fond vous proposez d'attendre qu'il y aie des victimes pour s'alerter. C'est typiquement l'inverse de ce qu'on appelle le sens des responsabilités.

Bref, un peu d’humilité ne vous ferait pas de tort.

avatar macinoe 26/12/2017 - 11:56

Oui, le même raisonnement qui amenait à dire que le concorde était l’avion le plus sûr au monde... jusqu’à l’accident de gonesse où il’est devenu un des pires.

L’absence de cas avéré n’a aucun rapport avec le risque encouru.

C’était bien plus risqué de voyager en concorde qu’en a320. même s’il n’y avait eu aucun accident grave.

avatar marc_os 26/12/2017 - 12:00 via iGeneration pour iOS

@macinoe :
Comparaison n'est pas raison !

avatar macinoe 26/12/2017 - 17:35

Si tu avais la capacité de comprendre des notions de bases, il n’y aurait pas besoin d’avoir recours à des exemples.
Mais je me moque. Je sais très bien que tu n’es pas idiot et que tu comprends parfaitement.

Tu es juste un fanatique. Qui par définition fait passer sa cause avant toute forme de raison.

Et si au passage, tu pouvais éviter d’avoir recours à des dictons idiots qui permetent de légitimer n’importe quoi genre « il n’y a pas du fumée sans feu » ou comme dans ton cas « comparaison n’est pas raison ».. ( la vache ça c’est craiment le marqueur du niveau zero de la pensée ), on pourrait commencer à dialoguer entre grande personnes douées de raison.

avatar marc_os 26/12/2017 - 17:04

@macinoe
Si on était à l'école et qu'on était noté, tu aurais eu pas loin de 0/20 car ta réponse à mon commentaire était HORS SUJET. Je dis bien par rapport à mon commentaire auquel tu répondais. Je te le signale et tu insistes, je me demande donc qui est le plus fanatique des deux.
Ceci dit, as-tu déjà entendu l'expression "avocat du diable" ? Et si oui sais-tu ce que cela veut dire ? Si oui, peut-être comprendras-tu alors ma position face aux meutes qui pratiquent l'Apple bashing à outrance.

avatar macinoe 26/12/2017 - 17:41

Je n’ai ni le temps ni l’envie de m’embrouiller en cette période de fête, mais franchement mec, un minimum d’introspection te ferait le plus grand bien.
T’es complètement à la ramasse mon pauvre. Et je ne dis pas ça pour être cruel, mais vraiment pour te donner une clef pour t’en sortir.

avatar marc_os 28/12/2017 - 01:30

@ macinoe
Les insultes sont rarement une marque d'intelligence, "mec".
Ou alors tu ne sais pas ce que veut dire "hors sujet"...

avatar Soner 26/12/2017 - 12:21 via iGeneration pour iOS

@8enoit

Tout à fait d’accord. C’est comme les programmes de rappel en automobile, non c’est vrai généralement personne n’a fini sa course dans un mur, mais à l’instant T ou un problème potentiel est découvert il faut agir et vite.

avatar occam 25/12/2017 - 23:02 via iGeneration pour iOS

Pour paraphraser le regretté Jean d'Ormesson, c'est le genre d'affaire qui fait chier.

Personne ne s'attend à ce qu'Apple soit parfait, loin s'en faut. Mais quand on a eu à faire depuis quelques lustres à ce fleuron de l'industrie, on reconnaît là une tendance viscérale au "deep-six", à enfouir aussi profondément que possible, dans les arcanes de la bureaucratie pommière, ce qui fâche et qui fait tâche. C'est tout le contraire de la culture "open".

Quand on dit qu'Apple "n'a pas une culture de la sécurité adéquate", et tenant compte de l'environnement où Apple évolue et des fondements de ses OS, on dit en vérité qu'Apple n'a pas une culture informatique adéquate.

Or c'est ce que les détracteurs d'Apple clament, depuis des années. Il est rageant, il est chiant de voir comment Apple, malgré les efforts de ses meilleurs éléments, s'évertue à donner raison à ses détracteurs.

avatar elbibou 25/12/2017 - 23:57 via iGeneration pour iOS

Trop gourmand Apple en voulant aller trop vite

avatar pagaupa 26/12/2017 - 10:43 via iGeneration pour iOS

@occam

Bien vu! Et cela dégoûte même certains de leurs clients dont je fais parti à la fois en professionnel mais aussi à tître individuel.
La suffisance d'Apple la tuera...

avatar debione 26/12/2017 - 10:49

Tiens, on pourrait ouvrir un nouveau concours( ou sondages de macg):

Le prochain produit Apple a sortir sera le homepod. Combien de temps avant l'apparition d'une faille dans son os? Ou alors de quelle nature sera la faille?

avatar Crkm 26/12/2017 - 10:58

Ah. Peut-être que les gens vont enfin commencer, doucement, à comprendre que ce qui dirige Apple, c’est ni plus ni moins que l’incarnation même de l’Incompétence, et que, le meilleur moyen de se protéger des failles de sécurité, c’est de prendre son maillet et de simplement fracasser chaque appareil Apple en sa possession, et d’acheter d’autres marques. Certes, il y aura toujours quelques irréductibles, quelques fanatiques qui défendront Apple comme si leur vie en dépendait. Mais je suis certain que la majorité raisonnable va réaliser cette année. Accrochez-vous, la descente de l’action Apple va être très, très prononcée.

avatar 8enoit 26/12/2017 - 11:32 via iGeneration pour iOS

@Crkm :
Propos excessifs. Insignifiants.
Ce qui n’enlève rien au fait qu’il faille être prudent dans ces domaines, connaissant la vulnérabilité des systèmes informatiques.

avatar webHAL1 26/12/2017 - 18:40 via iGeneration pour iOS

MacG a écrit :
« Et ce n’est pas nouveau : en 2015, nous avions interrogé deux spécialistes du domaine et pour eux, le constat était sans appel : « Apple n'a pas une culture de la sécurité adéquate ». Manifestement, la situation n’a toujours pas évolué. »

Et il n'y a aucune raison qu'elle évolue prochainement. Tant que ces aspects de sécurité n'ont pas un impact sur les ventes de la Pomme, celle-ci continuera à investir le minimum possible dans ce domaine, tout en mettant en avant un message marketing de type "c'est notre toute première priorité !". Si Microsoft a pris à bras le corps le problème de la sécurité ces dernières années, c'est suite aux nombreux problèmes apparus avec les versions de Windows antérieures à Vista. Ils commençaient à menacer l'édifice, donc la firme de Redmont a dû agir. Je suis persuadé que ça sera pareil avec Apple.

Cordialement,

HAL1

avatar IPICH 28/12/2017 - 16:57 via iGeneration pour iOS

Apple ne communique pas, les failles s'accumulent(coucou high sierra), un iPhone x au prix exorbitant, et iOS 11 qui fait des siennes.

Apple, ressaisis-toi!