Hue : les ampoules vulnérables aux pirates

Il semble que les ampoules connectées Hue de Philips sont vulnérables aux attaques qui peuvent provoquer des pannes. Il existe un correctif pour la faille : il faut retirer le pont Hue qui sert de passerelle entre les ampoules et l’application.

Nitesh Dhanjani, le chercheur qui a découvert cette faille et qui a démontré l’attaque via une vidéo, a précisé sur son blog que « l’éclairage est essentiel à la sécurité physique. Les systèmes d’ampoule intelligents sont susceptibles d’être déployés dans les constructions résidentielles et les entreprises actuelles. Dans le cas où un individu pirate le système, comme éteindre à distance les éclairages dans des endroits tels que les hôpitaux, peuvent entraîner des conséquences graves. « 

La principale vulnérabilité que Dhanjani a découvert est que le système d’authentification du pont Hue est faible.
Il se compose d’un jeton de sécurité contenant l’unique identifiant de l’appareil qui a été crypté à l’aide d’un algorithme connu. Cependant, les adresses matérielles sont faciles à détecter par n’importe qui sur le même réseau ou souvent par des personnes se trouvant à portée d’un appareil, les rendant impropres à l’authentification.

Cette faille peut être trouvée en parcourant les sites Internet spécialisés dans le hacking par exemple. Le code Java se propage à travers le réseau local, recherche les périphériques connectés. Il tente ensuite d’envoyer des commandes aux périphériques découverts. Si une commande est exécutée avec succès, la commande sera répétée encore et encore.