Sécurité IT : Un frigo connecté de Samsung piraté

Votre frigo connecté est-il vraiment sécurisé ?

En plein essor de l’Internet des objets et des équipements connectés à domicile, on va éviter la panique générale mais la découverte de Pen Test Partners mérite que l’on y prête une certaine attention.

Cet institut britannique d’audit de sécurité IT évoque une vulnérabilité de type man-in-the-middle en lien avec un modèle de réfrigérateur connecté de Samsung.

La découverte a été relayée dans le cadre de la conférence DEF CON 23 dédiée au hacking qui s’est déroulée début août à Las Vegas mais aussi sur le blog de Pen Test Partners dans une contribution en date du 18 août.

Le modèle de frigo RF28HMELBSR de Samsung a servi pour cette démo hack.

Signes particuliers de cet appareil high-tech pour moderniser votre espace de cuisine : une connexion Wi-Fi qui permet notamment d’accéder via un écran d’affichage au calendrier du compte Gmail (Google Calendar) du détenteur de l’appareil électro-ménager connectée et une application mobile dédiée pour le contrôle à distance.

Selon les éléments retranscrits par The Register, des pirates seraient susceptibles de récupérer les codes d’accès au compte Gmail via le frigo connecté.

Si le protocole de sécurité Secure Sockets Layer (SSL) dans le frigo en question a bel et bien été implémenté, le volet de la validation du certificat SSL s’est révélé défaillant.

« Le SSL est bien présent mais le frigo échoue dans ses tentatives de validation du certificat », précise Ken Munro, associé chez Pen Test Partners.

« Par conséquent, les pirates qui parviennent à accéder au réseau de connexion du réfrigérateur peuvent détourner l’application de calendrier Google Calendar disponible via l’appareil en recourant à une technique de type Man-In-The-Middle. Voire subtiliser les identifiants de connexion de Google de vos voisins. »

Du côté de Samsung, on tient un discours rassurant selon Business Insider : « Nous sommes conscient que notre succès dépend de la confiance des consommateurs (…) Nous allons enquêter sur le sujet la plus rapidement possible. La protection de la vie privée des consommateurs est notre priorité majeure (…) ».

La domotique connectée commence à montrer ses faiblesses en termes de sécurité IT. Début 2014, Proofpoint (éditeur de solutions de sécurité IT dans le cloud) avait montré comment transformer un réfrigérateur connecté en maillons d’un botnet.

La prochaine ouverture du salon IFA de Berlin dédié à l’électronique grand public devrait servir de vitrine pour présenter de nouveaux appareils associés à la domotique connectée.

——————–
Détournement « Man in the Middle » : un décryptage de l’ANSSI pour un cas classique

L’ANSSI, agence nationale de sécurité IT, explique les attaques MITM sous cette forme dans une fichée dédiée à la bonne utilisation des protocoles SSL/TLS.

« En dehors des attaques sur la mise en œuvre des protocoles, l’attaque la plus répandue sur les protocoles SSL/TLS est l’attaque de type man in the middle encore appelée attaque de l’intercepteur. »

Cette attaque consiste à intercepter le trafic entre deux parties avant qu’elles ne débutent une session SSL. L’intercepteur négocie alors une session avec chaque partie et fait suivre le trafic en le déchiffrant et rechiffrant à la volée.

« Dans le cas de l’utilisation du protocole HTTPS par un client web pour authentifier un serveur, l’intercepteur crée un certificat ressemblant au certificat légitime du serveur et détourne le trafic », illustre l’ANSSI.

« Si, malgré l’avertissement du navigateur sur le certificat, le client poursuit sa session, l’intercepteur obtiendra toutes les informations que le client envoie au serveur (mots de passe, identifiants bancaires…). Sans que ce dernier ne s’en rende compte. »