En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Domotique : une faille critique dans… des chaudières à gaz

Certaines chaudières de la marque Vaillant peuvent être commandées à distance par Internet. Mais le niveau de sécurité des interfaces de gestion se révèle particulièrement faible.

laisser un avis
Une application pratique, mais faiblement sécurisée
Les propriétaires immobiliers devront-ils bientôt se doter de pare-feu et d’antivirus pour protéger leurs chaudières ? C’est bien probable, au regard de ce qui se passe actuellement en Allemagne. La marque Vaillant – également distribuée en France – vient d’avertir par courrier les possesseurs d’une chaudière à gaz de type ecoPower 1.0 d’une vulnérabilité informatique. « Un accès externe par internet sur le système de réglage est possible. Il est recommandé de déconnecter la chaudière d’Internet en débranchant le câble réseau », est-il précisé dans la lettre, selon le site spécialisé BHKW-infothek.de.
En effet, il se trouve que ladite chaudière peut être commandée à distance via une interface web ou d’une application iPad. Pour cela, il suffit de brancher le système sur Internet. C’est bien pratique, car cela facilite les opérations de réglages pour le propriétaire et le chauffagiste. Une vulnérabilité permet, malheureusement, de récupérer facilement – il suffit de connaître une URL spécifique – les identifiants et mots de passe de cette interface de gestion, donnant accès à tous les réglages de la chaudière, y compris ceux qui sont réservés aux installateurs et aux développeurs du système. Des personnes malveillantes pourraient, par exemple, couper le chauffage en plein hiver ou, à l’inverse, chauffer en plein été.

Des VPN pour sécuriser les chaudières

Mais il y a pire. Tous ces systèmes sont également accessibles par des noms de domaine gérés par Vaillant et aisément détectables en jouant sur une série de chiffres. Les hackers pourraient donc piloter à distance tous les systèmes ecoPower 1.0 actuellement en exploitation. On comprend mieux pourquoi le fournisseur se donne la peine d’envoyer des courriers à tous ses clients et recommande la solution radicale d’une déconnexion pure et simple du réseau. A l’avenir, les clients devraient être équipés d’un boîtier VPN, afin de sécuriser les échanges de données.
Bref, la domotique, c’est bien, mais au niveau de la sécurité, il y a encore des progrès à faire.
Sources :
Article de BHKW-bibliothek.de
Article de The H
 

envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Bash Bug : mesures urgentes et nécessaires pour les entreprises
Windows 8/RT : déjà des patches pour plusieurs failles critiques
Cinq pare-feu menacés par une vieille attaque réseau
Deux tiers des failles critiques ne sont pas colmatées
Faille critique dans la protection WPA2 des réseaux Wi-Fi
Google offre 1 337 dollars pour chaque faille critique dans Chrome
Une faille critique dans Mac OS X… qui existe depuis sept mois
Intel vPro à nouveau hautement vulnérable
Un mégapatch Oracle pour colmater 38 failles
Une faille critique dans les noyaux Linux 2.4 et 2.6
Un « & » mal placé à l'origine d'une faille critique dans Internet Explorer
Regin, le super malware de la NSA et du GCHQ qui a espionné l’Union Européenne
Regin, le malware furtif qui espionne à tout va
Pirater le CPL de son voisin, c’est simple comme un coup de jus
Espionner un ordinateur déconnecté en utilisant... des ondes FM pirates
Coup de filet d’une quinzaine d’apprentis pirates
Etes-vous sous cybersurveillance ? Faites le test !
Nouvelle offensive contre la politique de chiffrement des données d'Apple
Android 5.0 déverrouille automatiquement votre mobile dans les endroits sûrs