Alex Balan, chercheur en sécurité a détecté de nombreuses failles dans la sécurité de certains objets connectés offrant un accès illimité à votre vie privée.
Cette semaine au Etats-Unis a eu lieu la RSA 2020. Un événement qui permet aux experts en cybersécurité de se rencontrer, d’échanger et partager leurs expérience. A l’occasion, Alex Balan, chercheur en sécurité chez Bitdefender Labs en a profité pour alerter sur les nombreuses failles qu’il a pu détecter sur certains objets connectés. Des appareils comme moniteurs de bébés ou des caméras de surveillance se sont transformés en véritable poule aux œufs d’or pour les personnes mal intentionnées.
La liste des objets connectés concernés par les failles de sécurités
iBaby Monitors M6S est comme son nom l’indique un moniteur bébé permettant aux parents de garder un œil sur leur enfant en utilisant leur smartphone. L’appareil souffre aujourd’hui d’une faille de sécurité majeure. En effet, Alex Balan explique qu’une défaillance dans la gestion des identifiants permet à n’importe qui d’accéder aux photos et vidéos enregistrées, de visionner des vidéos en direct de n’importe quel utilisateur. Il en de même pour MQTT, un protocole de connectivité assurant le transfert de messagerie de publication entre deux appareils. Toute comme iBaby Monitors M6S, MQTT souffre d’une faille dans son serveur. N’importe quel utilisateur peut ainsi avoir accès aux appareils à distance, visionner et enregistrer les photos, vidéos et audio et pire encore jouer de la musique.
Parmi les objets connectés touchés par une défaillance dans leur sécurité, on retrouve également Guardzilla et Wyze Cam Pan, deux caméras de surveillance. Une fois encore, un bug dans la gestion des identifiants offre un accès illimités à l’espace de stockage Amazon S3. De plus n’importe qui à la possibilité à la possibilité de visionner en temps réel les vidéos d’un autre utilisateur sans son accord. Pour finir, on retrouve également la socité Sonoff. L’ensemble des appareils de la société sont concernés par les failles de sécurités : prises connectées, caméras, boutons connectés, etc. Il suffit tout simplement de connaitre l’identifiant d’un appareil pour pouvoir le contrôler avec son propre compte par la suite.
Une fois les failles de sécurité détectées, l’équipe de sécurité de Bitdfender a immédiatement contacté les sociétés concernées. Aujourd’hui, alors qu’alertés depuis plusieurs mois, Sonoff est la seule entité ayant pris le temps de corriger les défaillances dont étaient victimes leurs objets connectés.