Ouvrir le menu principal

iGeneration

Recherche

Samsung : sérieuses failles de sécurité dans les produits SmartThings

Mickaël Bazoge

mercredi 17 février 2016 à 21:53 • 13

Accessoires

Les centaines de milliers d’utilisateurs de produits SmartThings, propriété de Samsung en août 2014, courent de sérieux dangers. Forbes rapporte l’alerte lancée par Tobias Zillner, chercheur pour la société Cognosec, des risques potentiels dont ils pourraient être les victimes : la sécurité des produits domotiques de SmartThings et des périphériques tiers peut en effet être prise à défaut.

En août dernier, durant la conférence Black Hat de Las Vegas, Zillner a pu déchiffrer la clé censée protéger les signaux circulant dans un hub SmartThings — le lieu central de triage des commandes de l’utilisateur. De fait, les communications ultérieures circulant dans ce hub peuvent être déchiffrées. Jusqu’à présent, le chercheur n’avait pas révélé le nom du constructeur léger sur la sécurité.

« À partir du moment où je suis capable de pirater le système », explique-t-il, « je peux ouvrir une porte fermée [protégée par un loquet connecté au système SmartThings] et tromper les capteurs de mouvements sans laisser aucune trace dans le système ». Et évidemment, l’utilisateur n’est pas prévenu de l’infraction, et pour cause : le système de surveillance ne repère absolument rien.

Zillner prévient aussi d’une autre faille de sécurité dans le protocole ZigBee, sur lequel repose les produits SmartThings. Une des clés censée protéger l’envoi d’une autre clé de remplacement est publique. Ces vulnérabilités combinées contribuent à l’affaiblissement considérable du système SmartThings.

Cliquer pour agrandir

Le chercheur a bien évidemment prévenu SmartThings de ses découvertes, en promettant fin décembre un correctif pour le mois de janvier. La semaine dernière, ce correctif n’était toujours pas disponible, et Samsung n’a pas encore réagi.

À la lumière de ces problèmes, on comprend mieux la volonté d’Apple de verrouiller complètement HomeKit : le constructeur demande un chiffrage avec des clés 3072 bits générés à l’aide d’une méthode tout aussi exigeante (lire : HomeKit serait trop sécurisé pour son propre bien). Dans le cas d’un cadenas connecté, il importe en effet que la sécurité soit optimale… voire tatillonne.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

15:33

• 16


Google propose des jeux pour Android Auto

14:15

• 0


Qualcomm abandonne la 5G mmWave avec son Snapdragon 8s Gen 4, comme Apple avec son modem C1

13:30

• 3


iOS 18.4 : les navigateurs tiers peuvent désormais installer des extensions

11:50

• 7


Silence : une application pour bloquer les appels indésirables sans abonnement

10:30

• 67


Certains utilisateurs rencontrent des difficultés avec CarPlay depuis leur passage à iOS 18.4

09:00

• 30


Test de l’iPhone 16e : pour tout le monde, ou presque

07:26

• 32


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

07:25

• 66


Guerre commerciale : le cours de l’action Apple en compote

06:44

• 112


Tentant d’éviter les taxes, Sonos mise sur le mauvais cheval

03/04/2025 à 20:30

• 33


Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone

03/04/2025 à 18:30

• 6


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

03/04/2025 à 18:15

• 32


L'Arcep observe une inflation des appels indésirables et abusifs chez les abonnés

03/04/2025 à 15:30

• 43


Apple appelle Samsung à l’aide pour l’OLED de l’iPad mini

03/04/2025 à 12:45

• 12


Meta mettrait un écran dans de prochaines lunettes à 1 000 $

03/04/2025 à 12:32

• 19


Guerre commerciale : l’Union européenne prête à taxer Apple, Google et les services numériques américains

03/04/2025 à 12:32

• 179