Photo : De Grant Durr -Unsplash
Beaucoup d’entre nous sont conscients que les objets connectés peuvent poser un risque pour la sécurité, mais cette étude démontre comment même les dispositifs les plus banals, apparemment « passifs » tels qu’une ampoule connectée, peuvent être exploités par des pirates et utilisés pour prendre le contrôle de réseaux ou installer des logiciels malveillants. Il est essentiel que les entreprises et les particuliers se protègent contre ces attaques potentielles en mettant à jour leurs appareils IoT avec les derniers correctifs, et en les séparant des autres appareils de leurs réseaux pour limiter la propagation d’éventuels logiciels malveillants.
Nous ne pouvons plus nous permettre de négliger la sécurité de tout ce qui est connecté à des réseaux ! y compris des ampoules !
[Selon un rapport de MarketsandMarkets, le marché mondial de l’éclairage intelligent devrait passer de 7,9 milliards de dollars US en 2018 à 21,0 milliards de dollars US en 2023.]
Des chercheurs de Check Point ont démontré comment des pirates pourraient exploiter un réseau d’objets connectés (ampoules intelligentes et passerelle de contrôle) pour lancer des attaques sur les réseaux informatiques classiques de particuliers, d’entreprises ou même de villes intelligentes. Les chercheurs se sont concentrés sur les ampoules intelligentes Philips Hue et leur contrôleur, et ont découvert des vulnérabilités qui leur ont permis de s’infiltrer dans des réseaux en exploitant une vulnérabilité à distance dans le protocole sans fil à faible puissance ZigBee, qui est utilisé pour contrôler différents types d’objets connectés.
Depuis une analyse publiée en 2017 sur la sécurité des ampoules intelligentes contrôlées par ZigBee, des chercheurs ont été en mesure de prendre le contrôle d’une ampoule Hue dans un réseau, d’y installer un microprogramme malveillant et le propager à d’autres réseaux d’ampoules adjacents. En utilisant cette vulnérabilité restante, les chercheurs de Check Point ont décidé de pousser plus loin cette étude initiale et ont utilisé l’ampoule Hue comme plate-forme pour prendre le contrôle du contrôleur des ampoules et, finalement, d’attaquer le réseau informatique de la cible. Check Point est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde
Il convient de noter que les générations plus récentes d’ampoules Hue ne présentent pas cette vulnérabilité.
1- Un pirate contrôle la couleur ou la luminosité de l’ampoule pour faire croire à son utilisateur que l’ampoule a un problème. L’ampoule apparaît comme étant « inaccessible » dans l’application de contrôle de l’utilisateur, qui essaiera donc de la « réinitialiser ».
2- La seule façon de réinitialiser l’ampoule est de la retirer de l’application, puis de demander à la passerelle de contrôle de la redécouvrir.
3- La passerelle de contrôle découvre l’ampoule compromise, et l’utilisateur l’ajoute à son réseau.
4- L’ampoule contrôlée par le pirate avec un microprogramme altéré utilise alors les vulnérabilités du protocole ZigBee pour déclencher un débordement de tampon dans la pile de la passerelle de contrôle, en lui envoyant une grande quantité de données. Ces données permettent également au pirate d’installer des logiciels malveillants sur la passerelle, qui est à son tour connectée au réseau de l’entreprise ou du domicile cible.
5- Les logiciels malveillants se connectent à l’infrastructure du pirate et, grâce à l’exploitation d’une vulnérabilité connue (par ex. EternalBlue), ils peuvent s’infiltrer dans le réseau IP cible à partir de la passerelle pour diffuser des logiciels rançonneurs ou des logiciels espions.
L’étude réalisée avec l’aide de l’Institut Check Point pour la sécurité de l’information (CPIIS) de l’Université de Tel-Aviv, a été communiquée à Philips et Signify (le propriétaire de la marque Philips Hue) en novembre 2019. Signify a confirmé l’existence de la vulnérabilité dans ses produits, et a publié une version corrigée du microprogramme (version 1935144040) qui est désormais disponible via une mise à jour automatique.
Plusieurs facteurs fait qu’il est primordiale d’avoir une stratégie de cybersécurité pour les plateformes à installés. Le marché de l’éclairage intelligent devrait enregistrer un TCAC de plus de 27,1% au cours de la période de prévision, 2019-2024.
– Le développement de bâtiments intelligents et l’augmentation des initiatives gouvernementales pour les projets de ville intelligente stimulent l’adoption de l’éclairage intelligent, impactant ainsi positivement la croissance du marché. La consommation électrique des lumières devrait représenter près de 40% de la consommation totale d’énergie des villes.
– L’adoption croissante et la baisse des coûts des LED sont le moteur du marché. L’efficacité lumineuse élevée, la consommation d’énergie réduite, la durée de vie plus longue et la baisse du prix de vente moyen (ASP) des produits d’éclairage LED obligent les consommateurs à passer à la technologie LED.
– La GSMA estime que la Chine pourrait représenter environ 4,1 milliards de connexions IoT, ce qui représente près du tiers des connexions IoT mondiales d’ici 2025. Les systèmes d’éclairage intelligents devraient être le plus grand bénéficiaire de la tendance, au cours de la période de prévision.
– L’industrie indienne du logement est l’un des secteurs à la croissance la plus rapide de l’Inde. La mission Smart City pour 100 villes du pays stimule le marché des éclairages intelligents. Avec une nouvelle initiative entreprise à Chandigarh, l’ Inde prévoit de convertir 3 800 lampadaires en système d’éclairage intelligent à capteur, dans le cadre de la Smart City Mission. Le gouvernement indien a lancé le programme UJALA, avec pour objectif de distribuer 770 millions de LED d’ici mars 2019
L’éclairage intelligent est souvent l’une des premières façons dont les gens expérimentent la technologie de la maison connectée, mais le prix des ampoules peut être un obstacle à l’équipement de plus d’une pièce. Mais cela change par exemple Wyse propose une seule ampoule coûte 7,99 $, tandis que le paquet de quatre ampoules coûte 29,99 $. Cela vous donne une ampoule LED de 9,5 W, ce qui équivaut à 60 W – délivrant jusqu’à 800 lumens de luminosité. Il n’y a pas de changement de couleur, mais vous pouvez modifier la température de couleur. Wyze prend en charge tout, d’une lumière blanche chaude de 2700 k, au blanc lumière du jour, à 6500 k. Contrairement à Philips Hue et à d’autres plates-formes d’ampoules intelligentes, il n’y a pas de concentrateur à installer. Au lieu de cela, les ampoules Wyze se connectent chacune directement à votre réseau WiFi. Vous aurez besoin d’un réseau 2,4 GHz fonctionnant, sachez qu’ils ne fonctionnent pas avec le WiFi 5 GHz.
L’ampoule connectée fonctionnent également avec Alexa, avec une commande vocale pour l’alimentation et la couleur de l’ampoule.