De nos jours, même les machines à café peuvent être victimes de ransomware

03 octobre 2020 à 08h08
25
Machine à café hackée © Dan Goodin / YouTube

En début d'année, des hackers allemands trouvaient le moyen de manger gratis chez McDonald's… Aujourd'hui, une machine à café intelligente exige une rançon de son propriétaire pour fonctionner correctement. Quel monde.

L'expérience, menée par un chercheur de la firme de cybersécurité Avast, s'est déroulée sur une machine iKettle de la marque Smarter, commercialisée à 250 dollars. Après une semaine d'efforts, le hacker-chercheur pouvait faire faire ce qu'il voulait à l'appareil. Un moyen cocasse de mettre en garde les consommateurs contre les failles des objets connectés.

iKettle, faille après faille

Les premières failles de sécurité identifiées sur les produits Smarter remontent à 2015. À l'époque, des chercheurs britanniques montraient qu'il était possible de remplacer le firmware d'usine par un firmware malveillant, l'appareil étant dépourvu de signature de micrologiciel et d'environnement d'exécution sécurisé à l'intérieur du chipset.

Si Smarter s'est attachée à régler ces problèmes sur la troisième version de l'iKettle, l'entreprise n'a pas prévenu les utilisateurs des deux premières versions, pourtant encore largement utilisées. Martin Hron, de la firme Avast, s'est donc amusé à montrer, concrètement, ce que l'on pouvait
faire avec ces appareils, cherchant à mettre en garde les utilisateurs.

Après une semaine de travail, il a réussi à transformer la machine à café en machine à rançon. Quand l'utilisateur essaie de la connecter à son réseau, elle commence à faire n'importe quoi : le broyeur se met en marche à sa guise, de l'eau chaude s'écoule sans cesse, et un message demandant une rançon s'affiche continuellement sur l'écran. La seule manière d'arrêter cet enfer, c'est de débrancher la machine.

La « porte » de la machine à café intelligente

Après s'être procuré sa machine, Martin Hron a découvert qu'elle agissait comme un point d'accès Wi-Fi ; une connexion non sécurisée lui permet de communiquer avec l'application smartphone du fabricant, nécessaire pour configurer la machine et l'utiliser à sa guise.

Cependant, en publiant les mises à jour du firmware, le fabricant n'inclut « pas de chiffrement, pas d'authentification et pas de signature de code », explique Ars Technica, qui a pu s'entretenir avec Martin Hron. C'est en partant de là que le chercheur en cybersécurité a pu prendre possession de la machine.

Notons que la portée de la démonstration reste limitée. Un potentiel attaquant doit en effet pouvoir localiser une cafetière vulnérable et se trouver à porter du Wi-Fi à laquelle elle est connectée pour utiliser cette technique de piratage.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
25
20
trollkien
Bien bien bien…<br /> Ca va être intéressant les années à venir avec la 5G et l’IOT, pendant cette période de décalage entre la volonté du «&nbsp;tout connecté&nbsp;» mais sans avoir réfléchi à tous les tenants et aboutissants.<br /> On aura peut être le droit à un Android IOT
Styxou
Bien sûr que l’on a réfléchi aux conséquences, il y a beaucoup d’oeuvres de fiction sur le sujet. Mais je crois que l’avenir nous réserve des surprises et que la réalité va vite dépasser la fiction
Nehi
Je ne partage pas cet avis. La plupart des commerciaux voit le WiFi et la 5G comme une valeur ajouté à un produit et à une montée de gamme qui permet surtout de vendre plus cher, sauf que tout l’aspect sécuritaire est relégué au second plan et coûte finalement beaucoup plus cher à entretenir pendant la durée de vie du produit.
Iceslash
Lol les gars, on y passera tous au 5G quand elle sera là…en France.
GRITI
Ca peut permettre des attaques massives de DDoS toutes ces petites machines connectées?
juju251
Oui et il y a déjà eu des précédents, par exemple :<br /> nextinpact.com – 24 Oct 16<br /> Dyn : on fait le point sur l'attaque DDoS qui a touché de nombreux sites<br /> Dyn, le service qui gère une partie essentielle de l'infrastructure de nombreux services, a subi une attaque massive il y a quelques jours. Résultat : de nombreux sites inaccessibles en tapant leur nom de domaine.&nbsp;Derrière l'attaque se cache...<br />
cirdan
Avec tous ces objets connectés on va finir par rejoindre ce genre de délire cinématographique :<br /> https://www.senscritique.com/film/Christine/443048
stratos
ma question est pourquoi une machine à café connectée, si j’ai envie d’un café je vais à la machine je prends la dosette que j’ai envie et voila, c’est comme ça<br /> .<br /> Je vois que pour des chaines de resto pour virer des employés et remplacer par cette machine et le client qui commande lui-même
marrondevant
«&nbsp;L’expérience, menée par un chercheur de la firme de cybersécurité Avast, s’est déroulée sur une machine iKettle&nbsp;».<br /> Une semaine plus tard, tous ses collègues l’ont ostracisé parce qu’ils ne pouvaient plus prendre leur café.<br /> Le chercheur s’est consolé en faisant une partie de doom sur la machine à café.<br /> iKettle prévoit d’inclure des DLC dans ses prochains modèles.
mrassol
C’est pour ca que c’est des commerciaux … il sont la pour vendre, pas pour faire peur …
Oldtimer
J’imagine des toilettes japonaises connectées infectées par un ransomware : payez sinon je vous nettoie pas le derrière
cid1
Ces imbéciles d’industriels, ils ne pensent qu’au fric qu’ils vont gagnez, mettre un système<br /> de sécurité…çà non, coute trop cher
cid1
mort de rire
nelectron
Domotique à tout va. Il y a 40 ans j’avais une cafetière Moulinex avec programmateur. On prépare le soir, le matin ça se mettait en route… Après les essais pour tester le gadget On ne s’en est plus servi en « automatique ».<br /> Citez ainsi les exemples de « domotique » qui ont fait des flops, ou que l’on se force à utiliser pour ne pas reconnaître qu’on est des geeks amateurs d’inutile.<br /> Alors maintenant si l’inutile devient dangereux…
GRITI
Oldtimer:<br /> payez sinon je vous nettoie pas le derrière<br /> Je mettrai plutôt une menace concernant les mouvements de la petite douchette du derrière…
GRITI
nelectron:<br /> Alors maintenant si l’inutile devient dangereux…<br /> Tout ce qui est connecté est potentiellement dangereux (différents types de danger). Et cela na va pas s’arranger à mon avis.
Blues_Blanche
Ca sert à quoi une cafetière connectée ?
GRITI
La mettre en route de son lit, de son bain ou avant de rentrer!!! Je suis sûr que tu vis dans une grotte avec une lampe qui fonctionne à l’huile de baleine!!!<br /> Ces gens qui n’arrivent pas à voir l’intérêt pourtant évident des objets les plus indispensables à l’humain moderne…Cela me dépite…<br />
Blues_Blanche
A ta réponse, je vois donc que ça ne sert à rien. Merci
GRITI
Blues_Blanche:<br /> ça ne sert à rien<br /> Et pourtant, ce genre de gadgets connectés va se multiplier alors qu’on nous parle de la planète, l’environnement etc…<br /> Alors oui, je sais, pour certains il s’agit du sacro-saint progrès et il ne faut pas arrêter sa marche…bref…Le mur se rapproche de manière inéluctable…
Blues_Blanche
Je revenais sur mon post pour l’éditer, mais tu as déjà répondu.<br /> Oui c’est utile pour une personne handicapée.
Martin_Penwald
'faut lire «&nbsp;Unauthorized bread&nbsp;» de Cory Doctorov. Ça rejoint le problème de la cafetière.<br /> Ars Technica<br /> Unauthorized Bread: Real rebellions involve jailbreaking IoT toasters<br /> Cory Doctorow's book, Radicalized, is up for a CBC award. To celebrate, here's an excerpt.<br />
c_planet
Je dirais… chaire à canon pour les générations futures. Si dans 10 ans les machines à café tiennent le coup contre les attaques ddos mondiales de super calculateurs sur artères fibrees, on pourra envisager plus de confiance dans nos actions connectees.<br /> Sinon bah, pour le moment, ça sert à inventer une vie à celui qui n’en n’a pas
Hulk69
En meme temps l’industrie a pour but primordial de generer des benefices… Tu vera quand tu bossera que le monde n’est pas binaire !!!
Voir tous les messages sur le forum

Actualités du moment

Freaks : dessine-moi un mutant
IKEA va arrêter de vendre des piles non rechargeables l'année prochaine
Bon plan VPN pas cher : le service Surfshark s'affiche à -81 % ce week-end !
Le constructeur chinois Xpeng Motors annonce un nouveau véhicule volant
Earthworm Jim : le jeu le plus GROOOVY de notre enfance ?
L'excellente tablette Samsung Galaxy Tab A encore moins chère ce weekend !
Quoi de neuf avec Recalbox 7.0 Reloaded ? Notre résumé pour tout savoir
Google News Showcase : le géant met un milliard sur la table pour
Private Internet Access : un des meilleurs VPN du marché s'affiche à -79% sur son abonnement 2 ans !
Pixel 5 : le radar Soli et Motion Sense absents, de retour sur un prochain smartphone ?
Haut de page