Pourquoi c’est important : Récemment, un chercheur en sécurité a découvert une grave vulnérabilité dans un système de sécurité domestique intelligent populaire. Les ingénieurs ont rapidement colmaté le trou, mais le problème pourrait encore amener les consommateurs à se lasser de voir tout leur système de sécurité contrôlé via une application mobile.
Eaton est une entreprise qui se concentre sur les produits et services liés à l’énergie et à l’électronique. L’un des services les plus utilisés d’Eaton est SecureConnect, un système de sécurité basé sur le cloud avec une application mobile pour le contrôle à distance. Le programme permet aux utilisateurs de gérer les différentes fonctions de sécurité, telles que la gestion du système ou le désarmement et l’activation des alarmes si nécessaire.
Une fonctionnalité unique permet aux utilisateurs d’attribuer des comptes à des groupes à partir de l’application. La fonctionnalité est utile pour les familles qui vont et viennent à des heures différentes et qui doivent désarmer le système de sécurité à différentes heures. Par exemple, ajouter ses enfants au groupe familial leur permet d’éteindre l’alarme et d’entrer dans la maison après l’école sans déranger papa ou maman au travail.
Malheureusement, le chercheur en sécurité Vangelis Stykas découvert une grave vulnérabilité au sein de la fonctionnalité de regroupement de SecureConnect. Le bug permettait à un attaquant de s’attribuer à n’importe quel groupe d’utilisateurs possible, y compris le groupe « racine » de l’entreprise. Stykas a affirmé que faire partie de ce groupe « donnait accès à tout » connecté au service cloud SecureConnect.
Stykas a exploité l’application SecureConnect en utilisant une attaque connue sous le nom de référence directe d’objet non sécurisée (IDOR). En utilisant un outil « man-in-the-middle », tel que Burp Suite, un pirate pourrait facilement changer son numéro de groupe en tout ce qu’il voulait. Dans ce cas, Stykas a basculé son compte vers le groupe 1, qui est le groupe racine d’Eaton. Les mauvais acteurs accédant au groupe racine peuvent voir les noms enregistrés, les emplacements et les produits spécifiques des autres utilisateurs. Pire encore, les pirates de l’air auraient théoriquement pu contrôler à distance les systèmes de sécurité de n’importe qui.
Eaton a publié une notification de sécurité affirmant avoir localisé le bug dans sa logique d’autorisation d’accès de groupe. Selon le porte-parole d’Eaton, Jonathan Hart, la société a corrigé la vulnérabilité le mois dernier. Hart a refusé de dire combien de clients utilisent le système de sécurité d’Eaton, il est donc difficile d’estimer le nombre d’utilisateurs concernés. Cependant, Stykas affirme que le nombre se situe dans les « dizaines élevées de milliers ».
Eaton a également confirmé que la vulnérabilité était un événement isolé, donc heureusement, Stykas était le seul utilisateur à avoir découvert la faille. Les résultats auraient pu être bien pires si les chapeaux noirs avaient trouvé le bug à la place des chapeaux blancs.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
