C’est lors de la 23ème edition de la Defcon (une conférence sur la sécurité informatique) qui a eu lieu cette été à Las Vegas que la faille de sécurité a été découverte par Pen Test Partners. Un réfrigirateur de la gamme Smart Home de Samsung est passé entre les mains des experts est comme on pouvait malheureusement s’y attendre des failles existent comme sur de nombreux objets connectés.

Le Réfrigirateur:

C’est le modèle RF28HMELBSR smart fridge qui est concerné, il succède au modèle RF4289HARS qui été déjà agé de deux ans. Ce réfrigirateur fait partie de la gamme Line-up Smart Home est peut être contrôlé grâce à l’application mobile Smart Home App de Samsung. La même que celle utilsée avec tous les autres appareils connéctés de la marque. Il dispose d’un grand écran couleur qui permet d’afficher un certain nombre d’information et notament le calendrier Gmail de la famille.
Refrigirateur_Samsung

La faille de sécurité :

Pour envoyer des informations en toute sécurité vers ce réfrigérateur, Samsung a intégré un processus de chiffrement sécurisé appelé Secure Sockets Layer (SSL).

Cependant, les pirates ont montrés que le réfrigirateur ne parvient pas à authentifier les certificats SSL de Google. Pour que la couche de sécurité fonctionne correctement, le réfrigérateur doit recevoir en retour un code valable de la part du site qui lui permet de valider le certificat SSL.
L’exception notable à cette règle est lorsque le terminal se connecte au serveur de mise à jour. Les chercheurs ont été en mesure d’isoler l’URL https://www.samsungotn.net qui est la même que celle utilisée par les téléviseurs, etc. Ils ont pu générer un ensemble de certificats avec exactement les mêmes contenu que ceux du vrai site web (un faux Certif. serveur + un faux cert . Signature CA) dans l’espoir que la validation se fasse, mais elle a échouée.
Le terminal doit avoir une copie du certificat CA et faire en sorte que le certificat du serveur soit signé. Ils n’ont donc pas pu pirater de cette façon sans avoir accès au système de fichiers et ne pouvaient pas remplacer le certificat CA pour le faire valider. Donc aucune interception de communications entre le réfrigérateur et le serveur de mise à jour.

Le Service Google Calendar:

Le réfrigérateur utilise le service calendrier de Google, ainsi les utilisateurs peuvent définir des événements dans le calendrier de la famille et les afficher sur l’écran du réfrigérateur!
ScreenCeci peut être une excellente façon pour envoyer du contenu dans le réfrigérateur et ajouter par exemple des entrées dans le calendrier.
Hacked_Screen
En théorie, n’importe qui, connecté sur le même réseau WiFi que le frigo pourrait accéder à l’App Google Calendar
Alors même si le certificat SSL est en place, si le réfrigérateur ne parvient pas à valider le certificat. Les pirates peuvent s’ils sont sur le même réseau wifi lancer une attaque Man-In-the Middle sur le calendrier du réfrigérateur et ainsi récuperer par exemple les identifiants de connexion au compte Google.

Conclusion:

La faille de sécurité a d’abord été rapporté puis communiquée à Samsung. Le fabricant a depuis publié une déclaration affirmant qu‘il se penchait sur la question.
Ce n’est probablement pas un problème majeure pour la plupart, mais si vous avez éventulement un de ces réfrigérateurs, il peut être préferable de changer le mot de passe de votre connexion WiFi et d’évitez tout simplement d’utiliser la fonctionnalité Google Calendar jusqu’à ce que cette faille soit corrigée par le fabricant.
D’une manière plus générale, pour tout ces nouveaux objets connectés la sécurité doit être présente à la fois au niveau de l’appareil lui même mais aussi du (ou des) réseaux qui sont essentiels au bon fonctionnement de l’objet. L’intelligence de l’appareil doit lui permette d’exécuter les fonctions pour lequel il est prévu mais également lui permettre d’identifer et de combattre les éventuelles menaces.
Heureusement, tout cela ne nécessite pas une grande révolution, mais plutôt une approche différente de la conception. Evoluer vers des techniques de conceptions qui ont fait leurs preuves dans le domaine de l’informatique pour les adapter à l’Internet des objets et enfin être en mesure de répondre correctement aux contraintes de ces nouveaux appareils tel est le défis que doivent relever les fabricants d’appareils connectés.
Taggé sur :            

A propos de l'auteur :

Électronicien de formation, j’ai travaillé pendant plus de 10 ans pour un important groupe mondial, leader dans la distributeur de matériel électronique et électrique. L’électronique, la domotique et les nouvelles technologie sont avant tout des passions et ce qui est encore plus intéressant, c’est lorsqu’on peut partager ses passions avec les autres. Aujourd’hui en tant que Directeur de "domogy.com", j’ai l’occasion de partager mon expérience avec les lecteurs du Blog, de proposer mes services pour rendre la domotique accessible à tous et de transmettre mes connaissances au cours de formations domotique.

a écrit 402 articles sur blog.domogy.com.