Posté le octobre 28, 2019 à 19:31
L’INTERNET DES OBJETS PERMET À UN CHERCHEUR EN SÉCURITÉ DE PIRATER PRÈS DE 11000 DISTRIBUTEURS DE NOURRITURE D’ANIMAUX DE COMPAGNIE
Il y a des choses qui se produisent de façon inattendue. Certaines choses non planifiées, ni même considérées comme possibles, se produisent par pure hasard. Anna Prosvetova, une chercheuse russe en sécurité de Saint-Pétersbourg, a réussi à pirater et à prendre le contrôle de 1 0950 mangeoires intelligentes de la marque Xiaomi FurryTail. Même Anna ne s’attendait pas à ce que cela se produise, mais c’est arrivé.
Dans une série de messages envoyés via son canal privé Telegram, Prosvetova a déclaré qu’elle avait accidentellement découvert un moyen de pirater et de contrôler tous les distributeurs d’animaux Xiaomi actifs à travers le monde. Elle a expliqué que cela était possible via les failles au sein de l’API principale et du microprogramme des périphériques.
Ces appareils sont des contenants d’aliments pouvant être configurés par l’entremise d’une application pour libérer de petites quantités de sa charge utile d’aliments tout au long de la journée. Le Xiaomi Furrytail a été conçu pour gérer la nourriture pour chats et chiens, souvent utilisée par les propriétaires d’animaux domestiques lorsqu’ils laissent leurs petits compagnons seuls pour de longs voyages.
10950 périphériques possible d’être des Botnets
Prosvetova examinait par hasard l’API du dispositif Furrytail, comme le font les chercheurs en sécurité, et y découvrit une faille. Elle a découvert qu’elle pouvait voir tous les autres appareils FurryTail actifs à travers le monde.
Au total, il s’agissait de 10 950 appareils, sur lesquels Prosvetova prétendait pouvoir modifier les horaires d’alimentation sans même avoir besoin d’un mot de passe. De plus, ces appareils utilisaient un chipset ESP8266 pour activer leur connectivité WiFi. Prosvetova a expliqué qu’il y avait une vulnérabilité sur ce chipset, qui rendrait un attaquant potentiel capable de télécharger et d’installer un nouveau micrologiciel. En redémarrant les chargeurs par la suite, ils sont capables de rendre les changements permanents.
Ces vulnérabilités sont le pain quotidien des créateurs de botnet potentiels. Pour seulement 80 $ le coût d’un seul animal de compagnie, il était possible d’accéder à tout un réseau d’appareils et de les utiliser comme un réseau de Botnet IdO. L’utilisation la plus connue de ce type de produit serait sans doute de faciliter les attaques DDoS. Prosvetova a noté qu’il serait facile d’automatiser l’ensemble du processus, depuis le téléchargement du nouveau firmware jusqu’à sa connexion au botnet. Il a pu être réalisé à l’échelle avec facilité, laissant un hacker avec une quantité massive de puissance de traitement pour peu d’effort.
Xiaomi notifiée, mais ont refusé une compensation
Prosvetova avait notifié Xiaomi par email de la vulnérabilité dans leur réseau. Le vendeur chinois a envoyé une réponse dans laquelle Xiaomi a simplement reconnu la vulnérabilité et a promis d’y remédier.
Bien qu’il soit évident que les appareils étaient piratables, il est difficile de savoir s’ils ont déjà été corrigés ou non. Prosvetova s’était abstenu de donner les détails exacts des vulnérabilités, en précisant qu’il y avait une faille, mais n’indiquant pas où exactement.
La représentante de Xiaomi qui a répondu à Postretova lui a dit qu’elle n’était pas éligible à la prime aux bugs. La raison en est simple. Xiaomi ne donne pas de primes aux bugs car ils ne disposent d’aucun programme de récompenses aux vulnérabilités (VRP). La plupart des entreprises de technologie qui sont assez grandes pour que cela ne soit pas un problème, prennent généralement leurs propres initiatives. C’est un moyen efficace de s’assurer que les failles inattendues dans votre système sont corrigées sans que vous ayez besoin d’être victime de piratage de taille pour y remédier. Les chercheurs en sécurité peuvent compter sur cela, car ils constituent un excellent moyen de tirer profit des systèmes de piratage tout en conservant leur légalité.
Cette nouvelle ère de l’Internet des objets suscite l’inquiétude et l’excitation. S’il est vrai que cela a permis à un peu moins de 11 000 distributeurs d’aliments pour animaux de compagnie de faire partie d’un botnet, cela a également permis à une quantité incommensurable de technologies sans faille de fonctionner en toute perfection.
Cependant, au fur et à mesure que les soi-disant «douleurs croissantes» de cette nouvelle forme de technologie commencent à se produire, les choses peuvent mal tourner. La plus évidente de ces choses serait le Mirai Botnet, où un hacker a réussi à prendre le contrôle d’un vaste réseau de systèmes. Quelqu’un a réussi à créer une attaque DDoS paralysante à l’aide de caméras de télévision et de routeurs.
C’est un concept étrange, mais c’est ce que notre monde actuel permet. Les entreprises de sécurité ont déjà commencé à prendre des mesures pour sécuriser cette nouvelle frontière des appareils vulnérables.
