LG corrige des vulnérabilités de sa gamme d’objets connectés

0

Les paysages technologiques connectés offrent de plus en plus d’opportunités, mais aussi des dangers. En France, les DSI figurent bel et bien parmi les porte-étendards de la transformation digitale. Les décideurs IT français sont plus de 85% à s’être engagés dans une démarche de transformation numérique de leur organisation.

En ce qui concerne l’IdO, 36 millions de professionnels de l’informatique travailleront bientôt dans le monde grâce à la croissance de l’IoT . Ainsi, si bon nombre d’entreprises reconnaissent aujourd’hui construire des stratégies autour de l’IoT, mais beaucoup se sent en insécurité face à la croissance importante des objets connectés en leur sein dont le manque de protections, de sécurité pourrait leur porter défaut. Les objets connectés sont une véritable cible de choix pour les cyberattaquants, car ils sont conçus pour être reliés en réseau puis oubliés juste après leur configuration de base.

« À mesure qu’un nombre croissant d’appareils intelligents sont utilisés à domicile, les pirates cesseront de cibler des appareils individuels pour pirater les applications contrôlant des réseaux d’appareils. Les cybercriminels auront ainsi encore plus d’opportunités d’exploiter les failles des logiciels, de perturber le domicile des utilisateurs et d’accéder à leurs données confidentielles, » déclare Oded Vanunu, head of products vulnerability research chez Check Point.

HomeHack, une vulnérabilité qui expose des millions d’utilisateurs

Check Point a découvert une vulnérabilité appelé HomeHack, qui a exposé des millions d’utilisateurs des appareils intelligents LG SmartThinQ pour la maison, et qui présente un risque de contrôle à distance non autorisé de leurs appareils SmartThinkQ.

Les vulnérabilités de l’application mobile et du Cloud LG SmartThinkQ ont permis à l’équipe de recherche de Check Point de se connecter à distance à l’application dans le Cloud SmartThinQ, de prendre le contrôle du compte LG légitime de l’utilisateur, et de prendre le contrôle de l’aspirateur et de sa caméra intégrée. Une fois le compte LG d’un utilisateur spécifique piraté, tout appareil LG associé à ce compte pourrait être contrôlé par le pirate, y compris les robots aspirateurs, les réfrigérateurs, les fours, les lave-vaisselle, les machines à laver et les climatiseurs.

La vulnérabilité HomeHack fourni aux hackers la possibilité d’espionner les activités personnelles des utilisateurs via la caméra vidéo du robot aspirateur Hom-Bot, qui envoie une vidéo en direct à l’application LG SmartThinQ associée, dans le cadre de sa fonction HomeGuard Security. Selon les appareils LG présent au domicile de leur propriétaire, les pirates pourraient également éteindre ou mettre en marche les machines à laver la vaisselle ou le linge.

Oded Vanunu, conseille aux utilisateurs de «prendre conscience des risques liés à la sécurité et la confidentialité lorsqu’ils utilisent leurs objets connectés, et il est essentiel que les fabricants se concentrent sur la protection des appareils intelligents contre les attaques, en mettant en place une sécurité robuste lors de la conception des logiciels et des appareils. »

OLYMPUS DIGITAL CAMERA

OLYMPUS DIGITAL CAMERA

Pour protéger leurs appareils, les utilisateurs de l’application mobile et des appareils LG SmartThinQ doivent s’assurer de disposer des toutes dernières versions logicielles sur le site web de LG. Check Point conseille également aux consommateurs de prendre les mesures suivantes pour protéger leurs appareils intelligents et leurs réseaux Wifi personnels contre les intrusions et la prise de contrôle à distance :

  1. Mettre à jour l’application LG SmartThinQ vers la dernière version (V1.9.23). Vous pouvez effectuer la mise à jour de l’application via Google Play Store, Apple App Store ou via les paramètres de l’application LG SmartThinQ.
  2. Mettre à jour les appareils physiques vers la dernière version. Vous pouvez le faire en cliquant sur le produit dans le tableau de bord de l’application smartThinQ (un message contextuel vous prévient si une mise à jour est disponible)

ido

Les vulnérabilités de l’application mobile SmartThinQ sont seulement un exemple de la manque de protection de cette type d’appareils. Cette fois, LG a fourni un correctif de qualité pour empêcher l’exploitation des vulnérabilités avant qu’une possible attaque se produise, mais ce n’est pas toujours le cas.

Le marché mondial des solutions internet of things (IoT) s’élèvera à 7 100 Md$ d’ici 2020. Aujourd’hui, on estime à 80 % le nombre d’objets connectés présentant des failles de sécurité, alors, au-delà de ces faiblesses protocolaires – qui sont importantes car difficiles à corriger – il y a des failles dans des implémentations logicielles et matérielles qu’il faut tenir en compte et suivre quelques conseils pour limiter les risques :

  • envoyer systématiquement des messages de taille fixe et en binaire
  • utiliser des plateformes matérielles inviolables (Secure Elements) pour stocker et protéger les clés de chiffrement sur les objets connectés
  • plafonner l’usage du spectre, choisir des clés différentes pour chaque objet
  • attendre que les fournisseurs appliqueront ces bonnes recommandations à ces créations avant que les objets connectés soient généralisé auprès du grand public

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply