Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Matthew Garrett met en évidence les dangers de la domotique
En accédant au système de contrôle des chambres d'un hôtel

Le , par Michael Guilloux

61PARTAGES

8  0 
La domotique est un ensemble de techniques permettant de centraliser le contrôle des différents systèmes et sous-systèmes de la maison ou de l'entreprise, à savoir le système de chauffage, les volets roulants, la porte du garage, le portail d’entrée, les prises électriques, etc. L’on a recours à la domotique pour apporter des solutions techniques pour répondre aux besoins de communication (commandes à distance) ou encore de confort comme la gestion de l’énergie, l’optimisation de l'éclairage et du chauffage, parmi bien d’autres. Pour cette raison, ces systèmes sont de plus en plus répandus dans les hôtels de luxe. La domotique permet également de sécuriser son habitation en permettant de contrôler les systèmes d’alarme, des caméras de sécurité, des serrures électroniques, etc. Le tout relié à un smartphone dans la plupart des cas, qui permet d’être alerté en cas d’intrusion dans la maison et même de visualiser en direct les images de son habitation. Toutefois, le revers de la médaille est que ces techniques doivent être utilisées avec prudence dans la mesure où elles peuvent être facilement détournées par des acteurs malveillants pour se transformer en véritable arme de cybercriminalité.

Dans le cadre de la conférence KubeCon 2016 les 10 et 16 mars à Londres, Matthew Garrett, Principal Security Engineer à CoreOS et ancien contributeur de la communauté Linux, a séjourné dans un hôtel de luxe. Là, il découvre que l’hôtel a remplacé les interrupteurs par une série de tablettes, l’une encastrée dans le mur et les autres à différents endroits avec des câbles Ethernet branchés dans le mur. À l’aide d’adaptateurs Ethernet USB, Matthew Garrett a pu mettre en place un pont transparent entre l’une des tablettes et le mur, puis y placer son PC. En utilisant TCPdump, un outil d’analyse réseau en ligne de commande très répandu chez les amateurs de sécurité de l’information et de routage réseau, Garrett a pu afficher le trafic alors que l’analyseur de paquets wireshark a également révélé que c'était Modbus over TCP. Modbus étant un protocole de communication assez trivial, et notamment n'ayant pas d’authentification, d’après le Principal Security Engineer de CoreOS.

TCPdump a montré que le trafic a été envoyé à l'IP 172.16.207.14. En utilisant pymodbus, l’implémentation Python du protocole Modbus, Garrett a commencé à contrôler ses lumières, éteindre et rallumer le téléviseur et même ouvrir et fermer les rideaux. Il remarque ensuite que son numéro de chambre était le 714, drôle de coïncidence avec les trois derniers chiffres de l’IP avec laquelle il communiquait (172.16.207.14). Cette découverte permet à Garrett d’aller plus loin et découvrir qu’il peut interroger d’autres pièces de son étage pour savoir si les lumières étaient allumées ou non. L’ex-contributeur du noyau Linux estime que cela signifie qu’il pouvait aussi bien les contrôler, des recherches avaient déjà été publiées sur ce sujet. Il affirme encore qu’en créant des passerelles, il pourrait également accéder aux pièces des autres étages de l’hôtel.

Matthew Garrett n’est pas allé plus loin cependant et a signalé ce problème de sécurité aux responsables de l’hôtel qui selon lui, ont été réceptifs et ont promis de faire le nécessaire pour corriger le problème. Pour cette raison, il n’a pas non plus divulgué le nom de l’hôtel.

Source : Matthew Garrett

Et vous ?

Que pensez-vous de la domotique ?
Utilisez-vous souvent ces techniques ? Dans quels buts ?

Voir aussi :

Rubrique Systèmes embarqués
L'internet des objets pourrait rapidement devenir l'internet des menaces, prévient le fondateur et PDG de Kaspersky

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Arnard
Membre émérite https://www.developpez.com
Le 21/03/2016 à 10:09
Du modbus pour gérer ça, c'est la domotique d'il y a 20 ans
Pour info, le modbus est un protocole simplissime : le serveur (nommé esclave) possède une table de mots, le principe étant de lire à partir d'une adresse X mots suivis. On peut aussi écrire la valeur de mots. En 6 octets on a une commande modbus pour interagir.

Avec ça, il avait moyen de coder une routine pour faire faire Tetris aux lumières de l'étage...

Aujourd'hui, on a le lon, le bacnet, le knx pour ces fonctionnels, protocoles qui eux peuvent être sécurisés.
0  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 21/03/2016 à 20:27
Que pensez-vous de la domotique ?
De la domotique, du bien en général, tant que sa place reste raisonnable.
Du tout domotique à outrance, une aliénation.
De la domotique hyper connectée, ou tout simplement directement connectée à internet, beaucoup de mal.

une série de tablettes [...] avec des câbles Ethernet branchés dans le mur.
Déjà, la première faille de sécurité est là. Pour un tel système de commande, dans un tel établissement, les liens de communications ne devraient pas être physiquement accessible au public/clients. soit le matériel est encastré au mur, soit il communique sans fils en liaison cryptée.

Ensuite pour le reste, rien ne m'étonne. Quant on voit bon nombre de matériel connecté, que ce soit dans le domaine de la domotique ou pas, qui ont accès et qui sont accessible directement depuis internet, être sans aucune sécurité de quelque sorte que ce soit, il n'y a rien de vraiment étonnant ici.

Les fabricants agissent avec leur produit connecté comme si on vivait dans un monde de bisounours, comme si la malveillance et la cybercriminalité n'existait pas sur internet. Pourtant les virus, c'est pas nouveau, ça fait 35 ans que ça existe, les botnets et autres pc zombies n'ont pas été inventés ce midi devant un apéro, ça fait plus de 20 ans qu'ils se propagent.
0  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 21/03/2016 à 21:54
ha le MODBUS ça me rappel le projet de fin d'année de mon BTS ou l'on devait faire un programme de gestion d'un parc de surgélateur via MODBUS, sur port USB
Par ailleurs je suis le seul à avoir eus une bonne note dessus
0  0 
Avatar de cdubet
Membre actif https://www.developpez.com
Le 25/03/2016 à 16:37
je pense pas que ca soit une negligence de ceux qui ont fabrique le systeme.
Simplement on a du leur demander de faire rapide et pas trop cher -> on evacue tout ce qui est securite
Et ce type d exigence c est pas la R&D qui la formule, c est le management (la c est aux USA mais en france ca pourrait aller jusqu a refiler le developpement a des stagiaires pour que ca coute moins cher)

Pour info, les drones US qui surveillaient l irak envoyaient toutes leurs images en clair, les rebelles pouvait les capter avec un equipement a moins de 100 $ ...
1  1