Posté le avril 5, 2023 à 5:10

NEXX NE PUBLIE PAS DE CORRECTIF POUR LES FAILLES DE SÉCURITÉ DES APPAREILS DOMESTIQUES INTELLIGENTS

Des hackers peuvent obtenir un accès non autorisé à une certaine marque de contrôleurs d’ouverture de portes de garage intelligents. Les hackers peuvent ouvrir ces portes dans n’importe quel endroit du monde en exploitant une faille de sécurité sur Nexx. La marque Nexx avait déjà été informée de ces vulnérabilités, mais n’avait pas publié de correctif.

Des hackers peuvent ouvrir des portes de garage intelligentes à l’échelle mondiale

Les vulnérabilités en question exposent les utilisateurs de la marque Nexx à un risque d’exploitation. Nexx est une plateforme qui propose des commandes d’ouvre-portes de garage compatibles avec le wi-fi ainsi qu’une large gamme d’autres produits.

Un chercheur en sécurité qui a détecté la faille a indiqué qu’il avait alerté Nexx, mais que la société n’avait pas publié de correctif. Le chercheur a déclaré que Nexx n’a pas répondu aux tentatives de signaler la faille de manière responsable pendant plusieurs mois.

Le chercheur en sécurité qui a détecté la faille est Sam Sabetan, qui a déclaré qu’elle était distante et pouvait être exploitée n’importe où dans le monde. Nexx est une entreprise qui propose une large gamme de produits, dont des portes de garage. La porte de garage de la société relie une personne à un ouvreur de porte de garage existant. La porte peut être activée à distance à l’aide d’une application pour smartphone.

Le site web de l’entreprise a assuré les utilisateurs de la sécurité en disant : « La vie est déjà assez compliquée. Se rappeler si vous avez laissé votre porte de garage ouverte ou non devrait être le cadet de vos soucis : Ayez l’esprit tranquille ». Cependant, il semble que ces assurances ne soient pas suffisantes, compte tenu des failles détectées par les chercheurs.

M. Sabetan a créé une vidéo de démonstration pour montrer que cette faille existe bel et bien. La vidéo montre le chercheur ouvrant la porte de son garage à l’aide de l’application Nexx. Il se connecte ensuite à un outil pour accéder aux messages envoyés par l’appareil Nexx. Il ferme ensuite la porte du garage à l’aide de l’application et accède aux données que l’appareil transmet au serveur Nexx.

En agissant de la sorte, Sabetan obtient des informations sur son appareil. Il a également accédé à des messages envoyés à 558 autres appareils ne lui appartenant pas. Les informations obtenues comprennent les adresses électroniques, l’identifiant de l’appareil et le nom associé à chaque appareil.

Ensuite, M. Sabetan renvoie une commande au garage à l’aide du logiciel, et non de l’application, ce qui rouvre les portes du garage. M. Sabetan a testé la faille en utilisant la porte de son garage, mais si elle était exploitée dans la nature, elle pourrait être utilisée pour accéder à plusieurs portes de garage.

Il a ajouté que cette faille était l’une des plus graves car elle permettait de désactiver l’alarme et de contrôler la prise intelligente. Cela indique que les failles peuvent permettre aux hackers de contrôler également un autre produit Nexx où les utilisateurs peuvent contrôler les prises de courant à l’intérieur de leurs maisons.

Si un hacker parvient à exploiter ces vulnérabilités, les conséquences seront considérables. Les produits Nexx sont axés sur la sécurité, et les failles de sécurité menacent les clients de Nexx.

Un hacker peut facilement ouvrir les portes Nexx au hasard, ce qui laisse leurs garages exposés. Leurs maisons sont également vulnérables aux cambrioleurs. Dans les cas extrêmes, les acteurs de la menace peuvent utiliser le bug pour attaquer un garage qui utilise le système de sécurité Nexx pour y accéder.

Nexx manque à son obligation de fournir un correctif

Les chercheurs en sécurité informent généralement les entreprises des failles de sécurité avant de divulguer ces informations au public. Cela permet à l’entreprise de déployer un correctif avant que la faille ne soit exploitée. Toutefois, Nexx n’est pas disposée à résoudre le problème.

M. Sabetan a indiqué qu’il avait contacté Nexx à plusieurs reprises à ce sujet, mais en vain. Le chercheur a également indiqué que l’agence de cybersécurité et de sécurité des infrastructures (CISA) du ministère de la sécurité intérieure avait tenté de contacter Nexx.

Nexx n’a pas réagi aux alertes concernant la correction des vulnérabilités. Les failles de sécurité sont toujours exploitables par les hackers. La CISA a également publié un avis de sécurité sur ces failles. Nexx semble ignorer toutes les demandes d’information qui l’avertissent de ces failles.

L’avis de la CISA précise que « Nexx n’a pas répondu aux demandes de collaboration avec la CISA en vue d’atténuer ces vulnérabilités. Les utilisateurs du produit concerné sont invités à contacter le service d’assistance de Nexx pour obtenir des informations supplémentaires. La CISA recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d’exploitation de cette vulnérabilité ».

M. Sabetan a indiqué qu’il avait envoyé plusieurs messages à l’équipe d’assistance de Nexx pour l’avertir du problème de sécurité. Après avoir été ignoré, il a envoyé un autre message à l’équipe d’assistance pour demander de l’aide pour son produit, et cette demande a reçu une réponse. Il a ensuite demandé instamment à l’équipe d’assistance de remédier à la faille de sécurité, mais en vain.