Internet des objets, le cauchemar commence
Nous vous avons souvent relaté les risques de sécurité liés à l'internet des objets et nous en avons déjà subi plus ou moins directement les conséquences quand des caméras IP ont été utilisées par des pirates pour créer un réseau de BotNets qui avaient ralenti pendant un moment nombre de services sur la toile.
Cela n'était que le début et voici un problème qui devrait servir de leçons à tous les fabricants d'appareils électroménagers connectés.
HackaDay rapporte (merci Vincent) qu'une faille de sécurité a été découverte dans un... lave-vaisselle Miele qui tourne sous Linux et supporte un serveur web permettant selon la notice:
Gestion plus pratique à distance grâce à l'application Miele mobile WifiConnect : indicateur de statut de cycle, départ, paramètres, info détergents, alerte de fin de programme.
Hélas, il y a sur cet appareil une faille de sécurité qui permet à distance d'en prendre le contrôle total en tant qu'administrateur. Ensuite, une fois son contrôle pris, il est aisé de le transformer en machine destinée perpétrer à des attaques (depuis votre IP) ou encore de tenter de nouvelles intrusions sur votre réseau, en local.
Le pire est ailleurs. Miele n'a a ce jour pas les moyens matériels de pousser automatiquement des mises à jour vers tous ces produits vendus. Ils resteront donc longtemps vulnérables à moins d'avoir un super Firewall (on peut rêver) ou... de les déconnecter.
Songez-y. A chaque fois que vous aller connecter à votre réseau un nouvel appareil, quel qu'il soit, vous allez ajouter des portes d'entrée et des failles qui seront potentiellement (et hélas presque assurément) exploitées par des pirates dans leur intérêt qui n'a aucune chance de concorder avec le votre.