Technologie

technologie <a href=Ecovacs Deebot T30 Omni Pro » data-hero decoding= »async » fetchpriority= »high »>

Image: Christoph Hoffmann

La tendance des maisons intelligentes continue de croître, avec une multitude d’appareils connectés à Internet qui rendent la vie domestique plus efficace et agréable. Cependant, que se passe-t-il lorsque ces gadgets intelligents sont piratés ?

Lors d’une présentation à la conférence de hacking Defcon, des chercheurs en sécurité ont démontré qu’il est possible pour des acteurs malveillants d’exploiter les aspirateurs et tondeuses à gazon intelligents d’Ecovacs pour activer secrètement leurs microphones et caméras, permettant ainsi l’espionnage, comme l’a rapporté TechCrunch.

À lire aussi : Améliorez votre bureau avec ces gadgets pour le télétravail

Les robots intelligents d’Ecovacs sont alarmamment faciles à pirater

Après avoir examiné plusieurs produits Ecovacs, les chercheurs en sécurité Dennis Giese et Braelynn ont identifié plusieurs failles pouvant être exploitées pour pirater à distance les robots via Bluetooth et activer secrètement leurs microphones et caméras.

Les chercheurs ont souligné que la principale vulnérabilité réside dans le fait que les robots Ecovacs permettent à n’importe quel propriétaire de smartphone de se connecter. En théorie, les hackers pourraient prendre le contrôle des robots à une distance allant jusqu’à 130 mètres, et une fois cela fait, ils pourraient potentiellement se connecter à partir de distances encore plus grandes, les robots étant également connectés à Internet via Wi-Fi.

« Leur sécurité était vraiment, vraiment, vraiment mauvaise », a déclaré Giese dans une interview avant la conférence. Selon les chercheurs, il est également possible de lire les données de connexion Wi-Fi et les cartes de pièces stockées, ainsi que d’accéder aux microphones et caméras avec peu d’efforts, le tout directement via le système d’exploitation Linux du robot.

À lire aussi : Astuces intelligentes pour sécuriser votre réseau domestique

Les tondeuses à gazon robotiques sont plus vulnérables que les aspirateurs

Les chercheurs en sécurité ont précisé que les tondeuses à gazon robotiques sont plus exposées aux attaques car leurs connexions Bluetooth sont toujours actives, tandis que les aspirateurs ne sont Bluetooth-actifs que lors de leur mise en marche initiale et lors d’un redémarrage automatique quotidien de 20 minutes.

Ces appareils intelligents ne possèdent aucun indicateur matériel pour signaler que leurs caméras et/ou microphones sont en fonctionnement, rendant difficile la détection d’une éventuelle surveillance.

Certains modèles jouent techniquement un fichier audio toutes les cinq minutes pour indiquer qu’une caméra est active, mais cela peut facilement être désactivé par des hackers expérimentés. « Vous pouvez simplement supprimer le fichier ou le remplacer par un fichier vide. Les avertissements ne seront donc plus diffusés si vous accédez à la caméra à distance », a expliqué Giese.

D’autres problèmes de sécurité avec les robots Ecovacs

En plus des risques mentionnés, les chercheurs en sécurité ont également identifié d’autres vulnérabilités.

Par exemple, les données stockées sur les serveurs cloud d’Ecovacs sont conservées même après la suppression d’un compte utilisateur, y compris le jeton d’authentification, ce qui signifie qu’une personne pourrait vendre son aspirateur après avoir supprimé son compte et potentiellement espionner le prochain propriétaire.

Un autre exemple concerne le mécanisme anti-vol, qui oblige l’utilisateur à entrer un code PIN chaque fois que le robot est soulevé. Cette fonctionnalité a été programmée de manière peu rigoureuse, car le code PIN est stocké en texte clair dans l’appareil, ce qui le rend extrêmement facile à lire pour les hackers.

Il est à noter qu’une fois qu’un robot Ecovacs est compromis, d’autres robots Ecovacs peuvent également être piratés s’ils se trouvent à portée.

Les appareils suivants ont été analysés par les chercheurs en sécurité :

  • Ecovacs Deebot série 900
  • Ecovacs Deebot N8/T8
  • Ecovacs Deebot N9/T9
  • Ecovacs Deebot N10/T10
  • Ecovacs Deebot X1
  • Ecovacs Deebot T20
  • Ecovacs Deebot X2
  • Ecovacs Goat G1
  • Ecovacs Spybot Airbot Z1
  • Ecovacs Airbot AVA
  • Ecovacs Airbot ANDY

Les chercheurs ont tenté de contacter Ecovacs pour signaler ces vulnérabilités, mais n’ont jamais reçu de réponse. L’entreprise n’a pas non plus répondu à une demande d’information envoyée par TechCrunch.

À lire aussi : Les cambrioleurs perturbent les caméras de sécurité Wi-Fi

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *