Les centaines de milliers d’utilisateurs de produits SmartThings, propriété de Samsung en août 2014, courent de sérieux dangers. Forbes rapporte l’alerte lancée par Tobias Zillner, chercheur pour la société Cognosec, des risques potentiels dont ils pourraient être les victimes : la sécurité des produits domotiques de SmartThings et des périphériques tiers peut en effet être prise à défaut.
En août dernier, durant la conférence Black Hat de Las Vegas, Zillner a pu déchiffrer la clé censée protéger les signaux circulant dans un hub SmartThings — le lieu central de triage des commandes de l’utilisateur. De fait, les communications ultérieures circulant dans ce hub peuvent être déchiffrées. Jusqu’à présent, le chercheur n’avait pas révélé le nom du constructeur léger sur la sécurité.
« À partir du moment où je suis capable de pirater le système », explique-t-il, « je peux ouvrir une porte fermée [protégée par un loquet connecté au système SmartThings] et tromper les capteurs de mouvements sans laisser aucune trace dans le système ». Et évidemment, l’utilisateur n’est pas prévenu de l’infraction, et pour cause : le système de surveillance ne repère absolument rien.
Zillner prévient aussi d’une autre faille de sécurité dans le protocole ZigBee, sur lequel repose les produits SmartThings. Une des clés censée protéger l’envoi d’une autre clé de remplacement est publique. Ces vulnérabilités combinées contribuent à l’affaiblissement considérable du système SmartThings.
Le chercheur a bien évidemment prévenu SmartThings de ses découvertes, en promettant fin décembre un correctif pour le mois de janvier. La semaine dernière, ce correctif n’était toujours pas disponible, et Samsung n’a pas encore réagi.
À la lumière de ces problèmes, on comprend mieux la volonté d’Apple de verrouiller complètement HomeKit : le constructeur demande un chiffrage avec des clés 3072 bits générés à l’aide d’une méthode tout aussi exigeante (lire : HomeKit serait trop sécurisé pour son propre bien). Dans le cas d’un cadenas connecté, il importe en effet que la sécurité soit optimale… voire tatillonne.
