De nos jours, même les machines à café peuvent être victimes de ransomware

03 octobre 2020 à 08h08
25

En début d'année, des hackers allemands trouvaient le moyen de manger gratis chez McDonald's… Aujourd'hui, une machine à café intelligente exige une rançon de son propriétaire pour fonctionner correctement. Quel monde.

L'expérience, menée par un chercheur de la firme de cybersécurité Avast, s'est déroulée sur une machine iKettle de la marque Smarter, commercialisée à 250 dollars. Après une semaine d'efforts, le hacker-chercheur pouvait faire faire ce qu'il voulait à l'appareil. Un moyen cocasse de mettre en garde les consommateurs contre les failles des objets connectés.

iKettle, faille après faille

Les premières failles de sécurité identifiées sur les produits Smarter remontent à 2015. À l'époque, des chercheurs britanniques montraient qu'il était possible de remplacer le firmware d'usine par un firmware malveillant, l'appareil étant dépourvu de signature de micrologiciel et d'environnement d'exécution sécurisé à l'intérieur du chipset.

Si Smarter s'est attachée à régler ces problèmes sur la troisième version de l'iKettle, l'entreprise n'a pas prévenu les utilisateurs des deux premières versions, pourtant encore largement utilisées. Martin Hron, de la firme Avast, s'est donc amusé à montrer, concrètement, ce que l'on pouvait
faire avec ces appareils, cherchant à mettre en garde les utilisateurs.

Après une semaine de travail, il a réussi à transformer la machine à café en machine à rançon. Quand l'utilisateur essaie de la connecter à son réseau, elle commence à faire n'importe quoi : le broyeur se met en marche à sa guise, de l'eau chaude s'écoule sans cesse, et un message demandant une rançon s'affiche continuellement sur l'écran. La seule manière d'arrêter cet enfer, c'est de débrancher la machine.

La « porte » de la machine à café intelligente

Après s'être procuré sa machine, Martin Hron a découvert qu'elle agissait comme un point d'accès Wi-Fi ; une connexion non sécurisée lui permet de communiquer avec l'application smartphone du fabricant, nécessaire pour configurer la machine et l'utiliser à sa guise.

Cependant, en publiant les mises à jour du firmware, le fabricant n'inclut « pas de chiffrement, pas d'authentification et pas de signature de code », explique Ars Technica, qui a pu s'entretenir avec Martin Hron. C'est en partant de là que le chercheur en cybersécurité a pu prendre possession de la machine.

Notons que la portée de la démonstration reste limitée. Un potentiel attaquant doit en effet pouvoir localiser une cafetière vulnérable et se trouver à porter du Wi-Fi à laquelle elle est connectée pour utiliser cette technique de piratage.

Source : Ars Technica

25
20
Partager l'article :
Voir tous les messages sur le forum

Actualités récentes

ClipDrop, l'application qui copie-colle les objets réels dans Photoshop est disponible !
Corsair annonce un casque spécialement créé pour les Xbox Series X et S
Vie privée : le mythe d’Internet
AMD travaillerait sur un GPU Navi orienté crypto-monnaie
Ergo Series : LG lance ses moniteurs Nano-IPS haut de gamme et ergonomiques
Tesla : Les usines de Shanghai et Berlin livreront des Model Y dès 2021
On a testé pour vous : le recrutement de profils tech sur talent.io
Facebook lance sa fonction
Un CyberScore pour les plateformes numériques : l'audacieuse proposition de loi
La trottinette électrique Xiaomi Mi Electric Scooter Essential à 50€ moins chère
scroll top