Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

Faille de sécurité critique dans les systèmes de chauffage
Les pirates peuvent contrôler ceux-ci à distance

Le , par ram-0000, Rédacteur
C’est un fait, depuis quelques années maintenant, la domotique entre dans la maison avec tous les avantages et le confort que cela procure (fermeture des volets à distance) mais aussi ses inconvénients, les équipements doivent être reliés à Internet pour pouvoir être pilotés à distance et donc s’exposent à divers agresseurs.

C’est ce que vient de découvrir la marque de chaudières à gaz « Vaillant ». Les chaudières de type « ecoPower 1.0 » sont pilotables à travers Internet en utilisant une interface Web ou même une application sur iPad.

Il suffit de demander une URL particulière pour obtenir la liste des identifiants et mots de passe en clair et ainsi pouvoir prendre le contrôle sur la chaudière.

De plus, ces chaudières s’enregistrent sur un DNS dynamique géré par la société Vaillant. Il est ainsi relativement aisé de deviner et d'obtenir la liste des chaudières connectées par essais successifs.

En attendant, le constructeur demande tout simplement de débrancher l‘accès au réseau de la chaudière…

Sources :


Et vous, qu’en pensez vous ?

Pensez vous que la sécurité pourra être prise en compte dans tous ces équipements connectés ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 16/04/2013 à 16:50
Citation Envoyé par ram-0000  Voir le message
Pensez vous que la sécurité pourra être prise en compte dans tous ces équipements connectés ?

Je suis plutôt surpris que cela ne soit pas le cas actuellement...
Il n'y a pas de "pourra" qui tienne selon moi.
C'est un peu comme si on décidait de commercialiser un coffre fort avec un trou derrière pour prendre un exemple extrême.
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent https://www.developpez.com
le 16/04/2013 à 18:33
C'est chouette les progrès de la domotique. Bientôt si tout est connecté et qu'il y à des failles de sécurité, les hackers pourront déclencher les Extincteur automatique à eau, mettre la musique à fond, mater ce qu'il y à sur les webcams, ouvrir les portes et les fenêtres, changer les heures des réveils, bref pleins de chouettes farces en perspectives...
Avatar de ram-0000 ram-0000 - Rédacteur https://www.developpez.com
le 16/04/2013 à 18:35
Citation Envoyé par Pierre Louis Chevalier  Voir le message
...mater ce qu'il y à sur les webcams...

C'est déjà le cas, il y a une webcam d'un constructeur bien connu qui présente aussi une vulnérabilité qui permet de s'y connecter assez facilement.
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent https://www.developpez.com
le 16/04/2013 à 18:37
ok, tu à l'IP que je regarde ?

Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 16/04/2013 à 19:25
Citation Envoyé par Pierre Louis Chevalier  Voir le message
ok, tu à l'IP que je regarde ?


Tu es pas au courant ? c'est pourtant sur twitter et on en a parlé sur le net.

Pas assez surement, puisque depuis quasiment 2 ans que la faille est corrigée, bon nombre de webcam ne sont toujours pas patchées.

Tu as même un site pour les voir en mosaïques
Avatar de antoinev2 antoinev2 - Membre averti https://www.developpez.com
le 17/04/2013 à 6:46
C'était tellement prévisible... et ce n'est que le début.
C'est à croire que, pour que les entreprises prennent en compte la sécurité, il faudrait au minimum une loi qui liste un certain nombre de précautions que les entreprises seraient obligées de suivre, sous peine de très forte amende.
Et avec des contrôles réguliers.
La sécurité, ils s'en moquent et rien ne les fera se remettre en question.
Dans le domaine de la banque, par exemple : vous avez déjà essayé de dire à votre conseiller que les cartes bancaires avec paiement sans contact, c'est vulnérable? On vous répond presque que vous êtes parano, on vous fait bien comprendre que vous êtes un "chieur" et on vous dit que c'est ça ou rien.
Il faut forcer pour enfin obtenir le droit d'avoir une carte bancaire sans cette technologie. Bref, l'Anssi a de quoi faire et les vilains pirates ont de beaux jours devant eux.
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 17/04/2013 à 9:07
Bonjour,

Citation Envoyé par antoinev2  Voir le message
La sécurité, ils s'en moquent et rien ne les fera se remettre en question.

Oui, ils s'en moquent. Mais petit a petit, de plus en plus de constructeurs vont devoir s'y mettre, car les attaques sont de plus en plus connues du grand public, et ca ecorne l'image, donc ca fait baisser les ventes (si si), donc ils s'y mettent.

Il y a pleins d'exemples plus ou moins absurdes qui sont regulierement mis en avant, et plus il y en aura, plus les failles vont devenir importantes, visibles, ... Jusqu'a ce qu'il y ait un (gros) soucis.

Dans la pub ou ils commandent les volets/garage/porte/autre a distance avec une tablette, vous avez vu une notion de securite ? J'ai passe quelques minutes sur le site, impossible de trouver autre chose que des videos de demonstration... Pourtant, il y a la toutes les commandes de la maison.

Dans le meme genre, il a ete demontre que les systemes sans clef des voitures (les cartes que l'on laisse dans son sac) sont de veritables passoires de securite : http://eprint.iacr.org/2010/332.pdf
Et pourtant, a ma connaissance, rien n'a change depuis la publication de cet article...

[Resume pour ceux qui ne veulent pas lire l'article :
Une clef de type carte dans une cuisine, pas loin de la fenetre. Il suffit d'un cable avec une antenne (figure 6) pour ouvrir et demarrer la voiture ; ca marche presque toujours a 7m, bien a 30m, et parfois avec la voiture a 60m de la clef -- voir table 4 -- sur 10 modeles differents.
fin du resume]

Tant que les gens n'auront pas de notions de securite, et ne comprendront pas les risques, il n'y aura de progres que par la legislation.
Avatar de Pierre Louis Chevalier Pierre Louis Chevalier - Expert éminent https://www.developpez.com
le 18/04/2013 à 0:30
Coté sécurité les mobiles et les paiements sans contacts ça à l'air d'une grosse blague, je pense qu'on va bien se marrer. Moi je m'en fou je paie avec des pièces et j'ai pas de smartphone.

Je vais créer une boite qui vends des téléphones qui ne font que téléphoner comme il y à 10 ans, et on peu l'ouvrir pour y ranger ses pièces, et je vais faire fortune hahahhaha.
Avatar de pgoetz pgoetz - Futur Membre du Club https://www.developpez.com
le 19/04/2013 à 8:34
BACnet (protocol très populaire aux Etats-Unis) utilisé en HVAC (chauffage/climatisation) n'est pas protégé. L'addendum G du dit protocol concernant la sécurité n'est pas (très peu) implémenté. Il est vrai également que la plus part des déploiements se fait sur paire torsadé (MS/TP RS485), mais il y a souvent un routeur vers IP.
Avatar de goomazio goomazio - Membre chevronné https://www.developpez.com
le 30/04/2013 à 19:58
Citation Envoyé par gangsoleil  Voir le message

[Resume pour ceux qui ne veulent pas lire l'article :
Une clef de type carte dans une cuisine, pas loin de la fenetre. Il suffit d'un cable avec une antenne (figure 6) pour ouvrir et demarrer la voiture ; ca marche presque toujours a 7m, bien a 30m, et parfois avec la voiture a 60m de la clef -- voir table 4 -- sur 10 modeles differents.
fin du resume]

Dans ce document, je ne vois pas où ils disent que la clé est nécessaire uniquement pour l'ouverture et le démarrage de la voiture. Est-ce qu'à partir du moment où la voiture est démarrée, on peut jetter la clé par la fenêtre et s'en éloigner sans soucis ?

Ceci dit, je n'ai rien à redire sur le fait que, de manière générale, les commerçants ne s'intéressent pas plus que nous à notre sécurité.

D'ailleurs, à mon avis, si on peut voir des systèmes de "super"-sécurité mis en avant par-ci par là (confirmation par SMS chez Google, achat de dongle de sécurité pour des jeux en ligne), c'est uniquement parce que cela les arranges elles. Ces entreprisent sont noyées dans les problèmes de perte de mot de passe de ses millions d'utilisateurs et des vols de comptes (le vol de compte google doit être moins fréquent que le vol d'un compte Wow)...
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil