Les chercheurs de Bitdefender ont annoncé avoir découvert une vulnérabilité qui permet à un pirate informatique de remplacer le logiciel d'un thermostat connecté de marque Bosch par une version malveillante, qui peut causer des dégâts.
En 2024 et plus que jamais, les thermostats connectés, ou intelligents, offrent une solution relativement simple permettant de faire des économies d'argent et d'énergie. S'ils sont bons pour la planète et pour le porte-monnaie, ces petits appareils ne sont pas à l'abri des cyberattaques. Le spécialiste Bitdefender met d'ailleurs en garde contre une vulnérabilité critique dans un thermostat Bosch, qui touche son microcontrôleur Wi-Fi. On vous explique.
Les hackers pouvaient envoyer des commandes malveillantes au thermostat Bosch
La vulnérabilité a été identifiée dans le thermostat Bosch BCC100. Elle concerne son microcontrôleur Wi-Fi, qui agit comme une passerelle vers le contrôle logique de l'appareil, qui est en quelque sorte le cerveau du thermostat. En exploitant la faille, un hacker peut envoyer des commandes à l'appareil, y compris des mises à jour malveillantes, qui vont ensuite lui offrir un accès non autorisé au réseau de l'utilisateur.
S'il est correctement formaté, le microcontrôleur ne peut pas reconnaître les messages malveillants et les prendra pour des messages authentiques envoyés par le serveur cloud. C'est ce qui aide l'attaquant à envoyer des commandes au thermostat.
Bosch, qui fut informée de la vulnérabilité par Bitdefender le 29 août 2023, a mis du temps à réagir. Après avoir confirmé la faille le 4 octobre, l'entreprise allemande a fait état d'un correctif déployé en production le 11 novembre. Bitdefender a décidé de rendre public le rapport ce jeudi 11 janvier 2024. Soit quatre mois et demi après la découverte de la vulnérabilité.
Bosch a déployé un correctif, mais la prudence s'impose
Si Bosch a réagi en déployant un correctif, Bitdefender souligne l'importance, pour les utilisateurs, de s'assurer qu'ils exécutent bien la dernière version logicielle pour leur thermostat. La mise en garde souligne aussi la nécessité de rester vigilant face aux failles potentielles des dispositifs de l'univers maison connectée (IoT) dans leur ensemble, qui deviennent de plus en plus la cible des cybercriminels.
Bitdefender nous rappelle, et le spécialiste cyber a bien raison de le faire, que les cybercriminels exploitent activement les vulnérabilités des dispositifs IoT, en utilisant des outils de scan automatisés pour identifier des cibles faciles. Il est crucial pour les entreprises et les utilisateurs individuels de sécuriser leurs réseaux IoT en limitant l'accès et en configurant des réseaux distincts.
Les recommandations incluent la séparation des réseaux interne, IoT et invité, avec une isolation entre eux. En cas d'utilisation de dispositifs de point de vente, il est recommandé de les connecter via un réseau 4G/5G ou un réseau Wi-Fi ou câblé dédié pour renforcer la sécurité face aux menaces potentielles.
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
