Passer au contenu

Les aspirateurs aussi peuvent vous espionner (s’ils sont connectés)

Une faille permettait de prendre le contrôle de n’importe quel objet connecté du fabricant LG. Elle permettait en particulier de se servir d’un robot aspirateur pour filmer l’intérieur d’une maison.

Etes-vous un fan de robots aspirateurs ? Il est vrai que ces appareils sont bien pratiques, mais le fait qu’ils soient connectés et bardés de capteurs crée un risque pour notre vie privée. Les experts de Check Point viennent justement de révéler une faille baptisée HomeHack, permettant de prendre le contrôle à distance d’un aspirateur LG Hom-Bot et d’espionner l’utilisateur grâce à la caméra intégrée. Pour le prouver, les chercheurs ont réalisé une vidéo de démonstration.

S'abonner à 01net

Désormais corrigée, cette faille avait un impact beaucoup plus large car elle concernait toute la gamme d’objets connectés de LG : aspirateurs, réfrigérateurs, fours, machines à laver, sèche-linge, climatiseurs, etc. Des millions d’utilisateurs étaient potentiellement exposés à cette vulnérabilité. Le problème résidait en fait dans l’application mobile SmartThinQ de LG. Disponible sur Android et iOS, elle permet à l’utilisateur de se loguer sur son compte LG et d’accéder aux fonctions de contrôle de leur(s) objet(s) connecté(s).

LG – L’application mobile SmartThinQ

Malheureusement, la procédure d’authentification était mal programmée. Après avoir créé leur propre compte LG, les chercheurs ont mis en place un dispositif de type Man-in-the-middle pour intercepter les requêtes et remplacer leur identifiant par celui d’un autre. Et bim, ils étaient connectés sur le compte d’un tiers. Pour arriver à faire cette manipulation, il fallait toutefois décompiler l’application mobile Android et supprimer deux garde-fous que le fabricant avait implémentés. Le premier empêchait l’exécution de l’application sur un smartphone rooté, le second empêchait l’interception Man-in-the-middle en vérifiant l’authenticité du certificat HTTPS (« Certificate pinning »).

Check Point a découvert cette faille en juillet dernier. LG a diffusé un patch en septembre. Si vous êtes un utilisateur d’objets connectés LG, vérifiez que vous avez bien la dernière version de l’application mobile (1.9.23). Il est également conseillé de mettre à jour le firmware des appareils, ce que vous pouvez faire directement depuis le tableau de bord de l’application.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Netflix Peur
Netflix ne précisera bientôt plus le nombre d’abonnés
Meta Quest
Meta baisse le prix du Quest 2, encore une fois
Meta Ai Bot 4
Meta lance son bot IA partout : Facebook, Messenger, WhatsApp, Instagram et sur le web
01net Morning
01net morning : test d’un rude concurrent du PlayStation Portal, un site de streaming inquiète Disney+, comment installer l’AltStore sur votre iPhone ?
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Huawei Pura 70
Huawei met en vitrine sa nouvelle gamme Pura 70
Top téléchargements