Comme quasiment n'importe quel appareil électronique, les ampoules Philips Hue ne sont pas infaillibles et peuvent servir de vecteurs d'attaques informatiques. Check Point Software vient d'en faire la démonstration en s'appuyant sur une ancienne vulnérabilité.
Les chercheurs en sécurité ont découvert des failles dans le protocole ZigBee, utilisé par les Hue et de nombreux autres objets connectés, qui, bien exploitées, permettent d'infiltrer un réseau domestique.
L'attaque, qui nécessite que le malandrin soit à proximité de la cible, se joue en plusieurs étapes :
- Le malandrin exploite la faille originale pour prendre le contrôle d'une ampoule et changer sa couleur ou son intensité.
- La cible, croyant à un dysfonctionnement de l'ampoule, supprime celle-ci de l'app puis l'ajoute à nouveau.
- Sauf qu'elle ajoute une ampoule malveillante qui attaque le pont (par dépassement de tampon), puis celui-ci infecte à son tour les autres appareils sur réseau.
La première faille, qui permet de prendre le contrôle d'une ampoule, ne peut pas être corrigée car elle se situe au niveau matériel, mais Signify a colmaté le reste mi-janvier. Vérifiez que votre pont est bien à jour dans l'application Philips Hue.
