Des robots aspirateurs piratés pour espionner et harceler les utilisateurs : Avertissement aux propriétaires d'appareils intelligents

Des cyberattaques visent les robots aspirateurs, révélant les lacunes en matière de sécurité et de protection de la vie privée des appareils intelligents

Récemment, une vague de cyberattaques a visé les aspirateurs robots, les transformant en sources inattendues de surveillance et de harcèlement verbal. Plusieurs utilisateurs aux États-Unis ont signalé que leurs aspirateurs Ecovacs Deebot X2 - largement considérés comme une marque de premier plan dans le domaine de la robotique de service - ont été piratés pour hurler des insultes et des obscénités par l'intermédiaire de leurs haut-parleurs.

L'une des victimes, Daniel Swenson, un avocat du Minnesota, a d'abord remarqué des bruits étranges provenant de son aspirateur. En vérifiant l'appareil via l'application Ecovacs, il a été choqué de voir que quelqu'un d'autre accédait au flux de la caméra en direct et aux fonctions de contrôle à distance. Malgré la modification du mot de passe de l'appareil, l'accès non autorisé s'est poursuivi et l'appareil a commencé à diffuser un langage fort et offensant. Se sentant menacé, Swenson a fini par éteindre l'aspirateur et l'a entièrement retiré de sa maison.

Cet incident a soulevé d'importantes préoccupations en matière de protection de la vie privée et de sécurité, d'autant plus que ce n'est pas la première fois que des appareils domestiques intelligents sont exploités à des fins de surveillance involontaire. Des cas similaires ont été signalés dans les jours qui ont suivi l'expérience de M. Swenson, tous impliquant un contrôle non autorisé des modèles Deebot X2 d'Ecovacs. Lorsqu'on lui a demandé des précisions, Ecovacs a suggéré que les pirates avaient probablement utilisé les informations d'identification de M. Swenson dans le cadre d'une attaque de type "credential stuffing", où les pirates utilisent des mots de passe volés sur d'autres sites web. Toutefois, cette réponse n'explique pas entièrement la violation, car l'accès à la caméra de l'application aurait dû être sécurisé par un code PIN unique, distinct de l'identifiant de l'appareil.

Une enquête plus approfondie a révélé une explication possible : en 2023, des chercheurs en sécurité ont découvert une faille dans la fonction de sécurité du code PIN d'Ecovacs. Au lieu de vérifier le code PIN sur les serveurs d'Ecovacs ou sur l'appareil lui-même, la vérification du code PIN s'effectuait uniquement dans l'application. Cela permettait à toute personne ayant le contrôle de l'application et des connaissances techniques de contourner la vérification du code PIN. Bien qu'Ecovacs ait affirmé avoir corrigé cette vulnérabilité, l'un des chercheurs a noté que la correction n'était peut-être pas entièrement efficace.

À la suite des attaques, Ecovacs a déclaré avoir envoyé des courriels conseillant aux clients de modifier leurs mots de passe. Pourtant, des utilisateurs comme M. Swenson ont indiqué qu'ils n'avaient pas été informés de problèmes de sécurité spécifiques et qu'ils n'avaient pas reçu de conseils pour renforcer la sécurité de leur appareil. Ecovacs a promis une mise à jour de sécurité pour la série X2, qui devrait être publiée en novembre 2024. D'ici là, il est conseillé aux utilisateurs de désactiver leurs appareils ou de prendre des précautions supplémentaires pour sécuriser leurs comptes.

Ce que cela signifie pour la sécurité de l'IdO

Les vulnérabilités mises en évidence par ces incidents soulignent la nécessité d'une sécurité rigoureuse pour tous les appareils IoT, en particulier ceux dotés de caméras ou de microphones. Les fabricants d'appareils doivent privilégier une authentification forte, basée sur un serveur, pour les fonctions critiques et communiquer rapidement avec les utilisateurs en cas de problèmes de sécurité.

ComplianceRT reste engagé à soutenir les entreprises dans le renforcement de leur posture de cybersécurité pour prévenir de telles violations. Notre équipe propose des évaluations de la conformité et de la sécurité, des solutions sur mesure pour les fabricants d'IoT, ainsi que les meilleures pratiques pour gérer les identifiants des utilisateurs et les contrôles d'accès afin de protéger la vie privée et de maintenir la confiance des consommateurs.

Source : https://www.malwarebytes.com/blog/news/2024/10/robot-vacuum-cleaners-hacked-to-spy-on-insult-owners

Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité

Qu'en pensez-vous ?

Perspectives connexes