Domotique : une faille critique dans… des chaudières à gaz

Mis à jour le
Domotique : une faille critique dans… des chaudières à gaz
 

Certaines chaudières de la marque Vaillant peuvent être commandées à distance par Internet. Mais le niveau de sécurité des interfaces de gestion se révèle particulièrement faible.

Les propriétaires immobiliers devront-ils bientôt se doter de pare-feu et d’antivirus pour protéger leurs chaudières ? C’est bien probable, au regard de ce qui se passe actuellement en Allemagne. La marque Vaillant – également distribuée en France – vient d’avertir par courrier les possesseurs d’une chaudière à gaz de type ecoPower 1.0 d’une vulnérabilité informatique. « Un accès externe par internet sur le système de réglage est possible. Il est recommandé de déconnecter la chaudière d’Internet en débranchant le câble réseau », est-il précisé dans la lettre, selon le site spécialisé BHKW-infothek.de.

En effet, il se trouve que ladite chaudière peut être commandée à distance via une interface web ou d’une application iPad. Pour cela, il suffit de brancher le système sur Internet. C’est bien pratique, car cela facilite les opérations de réglages pour le propriétaire et le chauffagiste. Une vulnérabilité permet, malheureusement, de récupérer facilement – il suffit de connaître une URL spécifique – les identifiants et mots de passe de cette interface de gestion, donnant accès à tous les réglages de la chaudière, y compris ceux qui sont réservés aux installateurs et aux développeurs du système. Des personnes malveillantes pourraient, par exemple, couper le chauffage en plein hiver ou, à l’inverse, chauffer en plein été.

Des VPN pour sécuriser les chaudières

Mais il y a pire. Tous ces systèmes sont également accessibles par des noms de domaine gérés par Vaillant et aisément détectables en jouant sur une série de chiffres. Les hackers pourraient donc piloter à distance tous les systèmes ecoPower 1.0 actuellement en exploitation. On comprend mieux pourquoi le fournisseur se donne la peine d’envoyer des courriers à tous ses clients et recommande la solution radicale d’une déconnexion pure et simple du réseau. A l’avenir, les clients devraient être équipés d’un boîtier VPN, afin de sécuriser les échanges de données.

Bref, la domotique, c’est bien, mais au niveau de la sécurité, il y a encore des progrès à faire.

Sources :

Article de BHKW-bibliothek.de
Article de The H