« Veux-tu du café? Payez la rançon »: personne n’est en sécurité si la machine à café est également piratée

Dans le monde interconnecté de la domotique, les dieux produits intelligents et l’Internet des objets devra accorder de plus en plus d’attention sécurité de l’appareil qui sont utilisés quotidiennement; l’alternative est que vous ne pouvez même plus préparer le petit-déjeuner sans risque d’être piraté, et que la machine à café finit en otage d’étrangers en ligne et demandent une rançon pour commencer. La preuve en a été donnée par Martin Hron, un chercheur en informatique qui a démontré comment même des appareils intelligents peu sophistiqués, lorsqu’ils sont connectés à Internet, peuvent passer de solutions domotiques intelligentes à une véritable nuisance, voire une menace.

Dans le travail documenté en ligne, le chercheur a pu reconstituer le fonctionnement d’une machine à café intelligente d’une valeur d’environ 250 € capable de se connecter au WiFi domestique et au smartphone à programmer ou de préparer la boisson avec les réglages souhaités. Au cours du processus, Hron a découvert que la machine recevait des mises à jour en installant des paquets de données non chiffrés de l’application sur des connexions non sécurisées, et a exploité cette vulnérabilité pour pénétrer dans le processus en envoyant au produit une mise à jour malveillante spécialement modifiée. Le nouveau logiciel a pris le contrôle de la machine permettant au pirate de contrôler certaines fonctions telles que le production de vapeur et d’eau bouillante, le tout en affichant un message inquiétant sur l’afficheur demandant le paiement d’une rançon.

Perdre le contrôle d’une machine à café de quelques centaines de dollars n’est pas si grave que de contraindre le propriétaire à une grosse dépense et l’intrusion ne peut se produire qu’après avoir accédé au réseau WiFi de la victime; bref, l’opération elle-même peut être peu rentable pour un hacker. La même machine, cependant, une fois mise sous contrôle, elle peut être utilisé de manière plus subtile: sans le rendre soudainement fou en demandant de l’argent, mais en l’utilisant comme point d’accès pour d’autres appareils et ordinateurs sur le réseau tout en fonctionnant d’une manière apparemment normale. Dans ce scénario, le produit reste à la maison pendant des années comme pour toute machine à café, mais il agit comme un cheval de Troie dangereux pour les pirates qui pourraient l’utiliser pour accéder aux caméras de sécurité et à d’autres systèmes domotiques.