Les connexions chiffrées de certains appareils réfrigérants de Samsung sont mal configurées et permettent de réaliser des attaques de type « Man in the middle ».
A l’occasion de la conférence DEF CON 23, qui s’est déroulée début août à Las Vegas, deux chercheurs en sécurité de la société Pen Test Partners ont découvert une jolie faille sur un réfrigérateur connecté de marque Samsung. En occurrence le RF28HMELBSR, lui-même digne successeur du RF4289HARS. Ces sigles ne vous diront sans doute rien, car ces modèles ne sont pas disponibles en France. Il s’agit de réfrigérateurs multi-portes de type américain plutôt luxueux (comptez 3.600 dollars) avec – comble du chic - un écran tactile qui permet de regarder la télé, surfer sur le web, lancer une playlist musicale, et même… afficher votre calendrier Google.Tout cela est plutôt sympa, me direz-vous. Le problème : lorsque l’appareil établit des connexions chiffrées en SSL/TLS, il ne vérifie par l’authenticité des certificats. Quelqu’un qui se trouve sur le même réseau pourrait donc assez facilement usurper l’identité du site Google et réaliser une attaque de type « Man in the middle » pour intercepter les données de connexion. Par exemple en installant un faux point d’accès Wifi à proximité.
L’appli mobile en ligne de mire
Bizarrement, Samsung ne tombe pas dans ce piège de débutant lorsqu’il s’agit de ses propres services. Ainsi, lorsque le frigo se connecte aux serveurs de mise à jour de Samsung, l’authenticité des certificats est bien vérifiée, rendant impossible ce type d’interception. En revanche, les deux hackers ont peut-être mis la main sur une autre faille, cette fois au niveau de l’appli mobile compagnon. Celle-ci permet de réaliser certaines tâches de configuration à distance, déporter l’affichage et même transférer un coup de fil (« Salut, je t’appelle de mon frigo… »).Evidemment, les communications entre le smartphone et le frigo sont chiffrées, mais les chercheurs estiment avoir trouvé le certificat dans le code de l’application mobile. Mais le fichier est protégé par un (bon) mot de passe. « Nous pensons avoir trouvé le mot de passe du certificat dans le code client [i.e. celui de l’application mobile, ndlr], mais il est masqué et nous n’avons pas encore réussi à le décoder », explique l’un des chercheurs dans une note de blog. Affaire à suivre…
Aucun commentaire:
Publier un commentaire