Passer au contenu

Les aspirateurs aussi peuvent vous espionner (s’ils sont connectés)

Une faille permettait de prendre le contrôle de n’importe quel objet connecté du fabricant LG. Elle permettait en particulier de se servir d’un robot aspirateur pour filmer l’intérieur d’une maison.

Etes-vous un fan de robots aspirateurs ? Il est vrai que ces appareils sont bien pratiques, mais le fait qu’ils soient connectés et bardés de capteurs crée un risque pour notre vie privée. Les experts de Check Point viennent justement de révéler une faille baptisée HomeHack, permettant de prendre le contrôle à distance d’un aspirateur LG Hom-Bot et d’espionner l’utilisateur grâce à la caméra intégrée. Pour le prouver, les chercheurs ont réalisé une vidéo de démonstration.

Désormais corrigée, cette faille avait un impact beaucoup plus large car elle concernait toute la gamme d’objets connectés de LG : aspirateurs, réfrigérateurs, fours, machines à laver, sèche-linge, climatiseurs, etc. Des millions d’utilisateurs étaient potentiellement exposés à cette vulnérabilité. Le problème résidait en fait dans l’application mobile SmartThinQ de LG. Disponible sur Android et iOS, elle permet à l’utilisateur de se loguer sur son compte LG et d’accéder aux fonctions de contrôle de leur(s) objet(s) connecté(s).

LG – L’application mobile SmartThinQ

Malheureusement, la procédure d’authentification était mal programmée. Après avoir créé leur propre compte LG, les chercheurs ont mis en place un dispositif de type Man-in-the-middle pour intercepter les requêtes et remplacer leur identifiant par celui d’un autre. Et bim, ils étaient connectés sur le compte d’un tiers. Pour arriver à faire cette manipulation, il fallait toutefois décompiler l’application mobile Android et supprimer deux garde-fous que le fabricant avait implémentés. Le premier empêchait l’exécution de l’application sur un smartphone rooté, le second empêchait l’interception Man-in-the-middle en vérifiant l’authenticité du certificat HTTPS (« Certificate pinning »).

Check Point a découvert cette faille en juillet dernier. LG a diffusé un patch en septembre. Si vous êtes un utilisateur d’objets connectés LG, vérifiez que vous avez bien la dernière version de l’application mobile (1.9.23). Il est également conseillé de mettre à jour le firmware des appareils, ce que vous pouvez faire directement depuis le tableau de bord de l’application.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN