Amazon a lancé le mois dernier Amazon Key : la combinaison d’une serrure connectée, qui permet aux livreurs d’accéder à votre domicile, pour qu’ils puissent livrer vos colis pendant que vous les surveillez avec une webcam appelée Cloud Cam. Du moins, c’est ce qui devrait se passer dans le meilleur des cas, car dans le pire des scénarii possibles, vous pourriez tout simplement ouvrir votre maison à des inconnus.
Le problème, heureusement déjà en cours de traitement par Amazon, est une vulnérabilité dans Amazon Key vis-à-vis d’une technique simplissime de brouillage de la webcam via une attaque par deauthentification.
Cette vulnérabilité a été découverte par des experts en cybersécurité de Rhino Security Labs. Ben Caudill, le créateur de l’entreprise de sécurité basée à Seattle, a publié mercredi une vidéo démontrant son “proof of concept”, en montrant l’intérieur d’une maison, le déverrouillage de la porte, un livreur livrant un colis comme d’habitude, un écran montrant un déluge de commandes de deauthentification, une image figée d’une webcam paralysée montrant une belle porte fermée en toute sécurité, et un autre écran qui montre le livreur en train de déambuler dans la maison, sans avoir été repéré, et en train de se diriger vers vos cadeaux de Noël.
La webcam ne capture pas la seconde entrée potentiellement malveillante, pas plus que l’application Amazon Key, qui ne l’enregistre pas.
Caudill a déclaré à Wired que c’était un peu dommage dans la mesure où l’objectif visé par Amazon Key est justement de sécuriser votre colis contre les voleurs :
La caméra est un élément clé sur lequel Amazon compte beaucoup pour assurer la sécurité de cette solution. La désactivation de cette caméra sur commande est une fonction assez puissante lorsque l’on parle d’environnements spécifiques, dans lesquels vous vous reposez fortement sur ce mécanisme de sécurité qui s’avère être essentiel.
En principe, les livreurs devraient verrouiller la porte avec leur application. Mais dans cette attaque en particulier, ils ont lancé un programme sur leur ordinateur portable, ou bien selon les chercheurs de Rhino lancé à partir d’un simple appareil portatif que n’importe qui peut construire à partir d’un mini-ordinateur Raspberry Pi et d’une antenne qui envoie des commandes de deauthentification vers la Cloud Cam de votre domicile.
Comme le souligne Wired, les commandes malveillantes ne sont pas dues à un bug dans Cloud Cam à proprement parlé, mais plutôt d’une vulnérabilité que pratiquement tous les appareils Wi-Fi possèdent.
Par exemple en 2015, nous avons vu des employés du Marriott, qui gère l’activité du Gaylord Opryland, utiliser un service de surveillance Wi-Fi pour retenir et/ou deauthentifier des paquets envoyés vers des bornes d’accès ciblées, et ainsi perturber l’accès au niveau de bornes d’accès individuelles. Ils ont reçu une amende de 600 000 $ et, après s’être bagarré, ont finalement jeté l’éponge concernant cette pratique.
Nous avons également vu un gars, qui recherchait certainement silence et tranquillité, être accusé d’un crime pour avoir utilisé un brouilleur, afin d’inciter les gens dans le train à arrêter d’utiliser leurs téléphones pendant les trajets.
Le brouillage est un classique, et c’est clairement illégal : vous prenez le contrôle d’un service public. C’est pourquoi la personne de Chicago, fan de silence, a été accusé d’un crime (plus tard requalifié en délit) : les services publics et d’urgence ont besoin de l’accès au Wi-Fi.
Bien qu’il s’agisse d’une attaque classique, il est déconcertant que la webcam d’Amazon n’ait aucun protocole pour réagir en cas de déconnexion. Elle se contente de montrer à un utilisateur la dernière image enregistrée avant de se bloquer, sans aucune alarme ou alerte pour signaler sa paralysie.
Caudill :
En tant que livreur Amazon à priori fiable, vous pouvez compromettre la sécurité de n’importe quel domicile auquel vous avez un accès temporaire, et ce sans aucun historique ou entrée, qui semblerait inhabituel ou suspect.
Amazon a déclaré aux agences de presse qu’il informait actuellement les clients si leur Cloud Cam restait hors ligne pour une “période prolongée”.
Selon CBS News, vendredi dernier, Amazon prévoyait de publier une mise à jour logicielle “plus tard cette semaine” pour “fournir plus rapidement des notifications si la caméra devait se déconnecter pendant la livraison” et s’assurer que le “service ne débloquera pas la porte si le Wi-Fi est désactivé et que la webcam n’est plus en ligne”.
Amazon a également déclaré que ce type d’attaque était “improbable”. Selon eux, il ne s’agit pas d’un problème de sécurité, et de plus, ils contrôlent minutieusement tous leurs livreurs.
La vision de Caudill : le coût pour mettre en œuvre cette attaque est ridicule. En effet, elle est réalisable par n’importe qui dans la zone Wi-Fi, à savoir les livreurs par exemple. Et plus précisément, l’idée du package Amazon Key à 249 $ est d’ouvrir les portes des domiciles à des individus qui ne sont pas des cambrioleurs ou autres voyous.
Etant donné la simplicité de l’attaque, 20 $ et un logiciel libre que vous pouvez installer vous-même. Il ne s’agit pas d’une attaque à négliger !
Nous espérons qu’Amazon traitera cette vulnérabilité au plus vite !
Billet inspiré de Amazon to fix Key home security vulnerability, sur Sophos nakedsecurity.