Nest : Des pirates qui parlent aux caméras de sécurité et augmentent les thermostats !

Objets Connectés

Ce cas de piratage d’appareils Nest montre bien l’importance d’utiliser des mots de passe uniques et une authentification à deux facteurs (2FA) pour empêcher les cyber-intrus de pénétrer dans des objets connectés, qu’il s’agisse de thermostats intelligents, de moniteurs pour bébé ou encore de webcams connectées !

nest

Si l’armée de cybercriminels rodant sur Internet n’est pas occupée à lancer des alertes bidon concernant de faux missiles à ogives nucléaires via les caméras de sécurité Nest, ils essaient de transformer les chambres d’enfants en étuves, en augmentant les thermostats des équipements Nest.

Un aficionado des smart-homes dans l’état américain de l’Illinois a confié à NBC News que sa femme et lui-même n’avaient pas bien dormi depuis plusieurs jours, après qu’un inconnu ait eu accès à ses caméras de sécurité et à ses thermostats.

Arjun Sud, que NBC a décrit comme un utilisateur “averti” de la technologie smart-home, a déclaré à la chaîne que peu de temps après que son épouse et lui aient couché leur petit garçon de 7 mois le 20 janvier 2019, ils ont entendu un bruit étrange sortir de la pièce. Selon ses dires, quand il est allé voir de plus près, il a entendu une voix masculine grave venant d’une caméra de sécurité Nest installée dans la chambre, l’une des 16 qu’il possède, en plus d’un système de sécurité et de deux thermostats Nest.

En outre, Sud a découvert qu’une personne ayant a) trop de temps libre et b) le mot de passe de ses appareils Nest avait manipulé à distance le thermostat, augmentant ainsi la température jusqu’à 32°C !

Google, propriétaire de Nest, a déclaré à NBC qu’elle était au courant de signalements similaires faisant état de clients utilisant des mots de passe compromis révélés lors de violations de données au niveau d’autres sites web.

Les conseils de Google et des experts en cybersécurité, y compris ceux de Sophos bien entendu, sont d’utiliser des mots de passe uniques et une authentification à deux facteurs (2FA) pour empêcher les cyber-intrus de pénétrer dans des objets connectés, qu’il s’agisse de thermostats intelligents, de moniteurs pour bébé ou encore de webcams connectées.

En fait, Sud n’est pas satisfait de cette réponse. Il a dit à NBC qu’il ne savait pas que le 2FA était une option. Il souhaite rendre pour 4 000$ (environ 3500€) de produits Nest, et il veut récupérer son argent. Il veut également que Google et Nest reconnaissent leur responsabilité dans le fait de ne pas l’avoir averti que l’option 2FA existait, et de ne pas l’avoir alerté lorsqu’un intrus a essayé d’accéder à son compte.

Sud a déclaré :

Ils ont simplement rejeté la faute sur moi en m’accusant, mais en réalité ils ont tout simplement fui leur propre responsabilité. 

La colère de Sud est compréhensible. C’est effrayant de réaliser qu’un intrus aurait pu écouter les conversations intimes et privées de sa famille ou encore espionner son enfant.

Il faut quand même se poser la question…

À qui la faute ?

Nest n’a proposé une option 2FA qu’à partir de mars 2017. Mieux vaut tard que jamais, disait l’entreprise à l’époque. Après tout, de nombreux autres objets connectés (IoT) ne l’ont toujours pas !

Le 2FA signifie une authentification non seulement avec un mot de passe, mais également avec un code secondaire. Parfois, ce code est envoyé par SMS. Cependant, compte tenu des attaques de phishing pouvant capturer des codes uniques envoyés par texto, il ne s’agit plus de l’option la plus sécurisée.

Les codes secondaires sont également accessibles via une application générant ces derniers, telle que Google Authenticator, Authy ou Sophos Authenticator (également inclus dans notre logiciel gratuit Sophos Mobile Security pour Android et iOS). Une autre option est une clé matérielle 2FA, telle que Yubico ou Titan de Google.

Assurément, le 2FA ajoute une couche de sécurité au niveau de l’authentification. Mais est-il de la responsabilité de Google de s’assurer que Sud et les autres utilisateurs de Nest connaissent l’existence du 2FA ? Et comment savoir ce que les utilisateurs savent ou ne savent pas ?

Les gens doivent assumer la responsabilité de leur sécurité en ligne. Nous devrions tous savoir maintenant que la réutilisation des mots de passe nous met clairement en danger vis-à-vis de cybercriminels qui utiliseront nos identifiants, issus d’une violation de données, pour alimenter d’autres services en ligne jusqu’à ce qu’ils parviennent à forcer l’accès, qu’il s’agisse de nos comptes bancaires en ligne, de nos comptes sur les réseaux sociaux, d’objets connectés à notre smart-home, ou encore d’une multitude d’autres endroits et objets que nous voulons protéger.

Il s’agit d’une attaque bien connue appelée “credential stuffing“. Malheureusement, cette technique réussit beaucoup trop souvent, étant donné le nombre de personnes qui ont la mauvaise habitude de réutiliser les mêmes mots de passe à plusieurs endroits différents. C’est comme si quelqu’un avait trouvé une clé sur le trottoir. Et il se trouve que c’est la seule clé utilisée pour sécuriser chaque maison du quartier. Bingo !

Rendons à César ce qui est à César

En mai 2018, la division Nest de Google a envoyé des alertes à certains utilisateurs, leur demandant de modifier leurs mots de passe après avoir appris que leurs identifiants avaient été impliqués dans une violation de données.

Google n’est pas le seul. Facebook et Netflix, parmi beaucoup d’autres sites majeurs, parcourent également Internet à la recherche de combinaisons de noms d’utilisateur et de mots de passe qui font partie d’identifiants volés.

Parfois, ils vous utilisent incitent gentiment à changer votre mot de passe. Parfois, ils bloquent littéralement les utilisateurs, comme Facebook l’a fait quand il avait constaté que les identifiants de ses utilisateurs avaient également été utilisés sur Adobe.

Ne vous laissez pas bloquer et ne faites pas confiance aux entreprises qui déclarent toujours vous surveiller lorsque vous réutilisez des mots de passe. Parfois elles le feront. Parfois, elles ne le feront pas. Parfois, elles n’auront tout simplement pas le temps : en effet, les cybercriminels sont beaucoup trop rapides !

Au lieu de cela, nous devrions tous veiller à disposer d’un jeu unique d’identifiants : un jeu unique et puissant pour chaque site, chaque service. Cela s’applique à nous tous, utilisateurs de Nest ou non. Même si vous êtes personnellement en sécurité, assurez-vous que votre famille, vos amis, vos collègues ou toute autre personne à laquelle vous pourrez penser, choisissent des mots de passe forts, longs de 12 caractères au moins, mélangeant lettres, chiffres et caractères spéciaux.

Mieux encore, pensez à utiliser un gestionnaire de mot de passe. Certes, ils ne sont pas parfaits, mais ils sont plutôt efficaces : ils créeront non seulement des mots de passe complexes et uniques, mais ils les stockeront également pour vous, de sorte que vous n’ayez pas à vous en souvenir !


Billet inspiré de Hacker talks to baby through Nest security cam, jacks up thermostat, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.