Pendant des décennies, les jacuzzis ont été, pour leurs propriétaires, de simples lieux de détente de luxe contenant de l’eau !
Plus récemment, les fabricants ont commencé à ajouter d’intéressantes fonctionnalités IoT (Internet des objets), que les services marketing produit ont présentés comme des MUST indispensables et à ne surtout pas manquer !
Ces jacuzzis connectés semblent identiques aux anciens, à la différence que les propriétaires peuvent désormais régler à distance des paramètres tels que la température de l’eau à l’aide d’une application pour smartphone.
Selon Pen Test Partners, une agence de sécurité britannique, il semble qu’au moins un fabricant de jacuzzis ait considéré le renforcement de la sécurité comme non prioritaire.
Dans une vidéo filmée depuis un jacuzzi, le fondateur, Ken Munro, explique comment son entreprise a été invitée à examiner plus en détail le concept d’authentification de l’application utilisée pour contrôler les jacuzzis ou les spas fabriqués par Balboa Water Group (BWG).
Ce qu’ils ont trouvé illustre tout à fait ce qu’il ne faut pas faire en matière de sécurité d’objets connectés.
L’application communique directement avec une interface Wi-Fi au niveau des jacuzzis de l’entreprise ou via Internet à l’aide d’une API. Le point d’accès (AP), intégré à la baignoire,…
… est laissé ouvert, sans PSK [clé pré-partagée], ainsi n’importe qui près de chez vous, peut connecter son smartphone à votre jacuzzi et le contrôler. Un sympathique pirate lambda dans votre quartier pourrait ainsi tout à fait contrôler votre baignoire.
Et ce n’est pas tout : l’API n’a pas d’authentification mais se connecte à un service cloud appelé iDigi, qui utilise un mot de passe statique. Accéder à une baignoire spécifique nécessite un identifiant, qui s’avère être… un simple dérivé de l’adresse MAC du point d’accès Wi-Fi !
Espionner les réseaux Wi-Fi est facile et très répandu, si facile et si populaire que des bases de données géantes et des cartes du monde sur lesquelles les adresses MAC sont localisées sont accessibles en un seul clic. De plus, comme le savent tous ceux qui utilisent les services de localisation de Google, les réseaux Wi-Fi peuvent également être utilisés pour la géolocalisation.
Cela vous dérangerait-il si quelqu’un pouvait localiser votre jacuzzi sur une carte ? Peut-être pas, mais la plupart des utilisateurs s’inquiéteraient des autres problèmes de sécurité révélés par l’analyse de cette application.
À ce stade, les chercheurs ont décidé de donner un nom spécial à ce type d’appareil, le “hackuzzi” (en l’honneur de la marque américaine Jacuzzi, qui n’est pas affectée par cette vulnérabilité).
Piège eaux troubles !
Passons maintenant à la pièce maîtresse : la manipulation de la température de l’eau !
Selon les chercheurs, cela pourrait ne pas être dangereux en soi, mais permettre à un pirate de générer une consommation excessive d’électricité au niveau de la baignoire ou de la rendre froide et donc inutilisable. Il est également possible de contrôler les ventilateurs ou les jets d’eau :
Les ventilateurs ne sont généralement allumés que lorsqu’un individu se trouve dans la baignoire, ainsi un pirate peut très bien déterminer si vous êtes dans la baignoire à ce moment précis. Terrifiant !
Au-delà de la triste réalité en matière de sécurité d’un produit connecté utilisé pour contrôler environ 26 000 jacuzzis, cette découverte présente un aspect sérieux. Lorsque Pen Test Partners a contacté Balboa, il n’a reçu aucune réponse tant que la BBC ne les a pas contactés avant la diffusion d’un reportage télévisé.
Pen Test Partners a affirmé que BWG avait demandé que l’émission de Noël soit retardée pour prendre en compte la période des vacances.
Pen test Partners a déclaré :
C’est encore un autre exemple de dérapage au niveau de la divulgation d’un problème de sécurité concernant des objets connectés.
Jusqu’à ce qu’une application et/ou une API ne soit mise à jour, leurs conseils aux propriétaires est de ne pas utiliser la fonction de contrôle à distance et, en cas de souci, de supprimer physiquement le module Wi-Fi autorisant cette fonction.
Espérons que Balboa offrira bientôt une mise à jour. Cependant, étant donné que la dernière mise à jour de la version Android (v2.2.7) date de juillet 2013, il est probablement juste de supposer que cela pourrait ne pas être imminent !
Billet inspiré de IoT weaknesses leave hot tub owners in deep water, sur Sophos nakedsecurity.