Une faille de conception majeure dans les nouveaux dispositifs de sécurité domestique Gen 4 de Shelly pourrait exposer des millions de foyers européens à des attaques, affirme Pen Test Partners.
Des chercheurs en sécurité d’un cabinet de conseil en cybersécurité affirment avoir découvert une faille majeure dans les produits domotiques de Shelly, un fournisseur européen de systèmes de sécurité pour la maison.
Actuellement, les produits Shelly sont utilisés dans plus de 5,2 millions de foyers européens. Selon Pen Test Partners, ce défaut de conception crée une porte dérobée invisible vers les logements privés, que la plupart des utilisateurs ne découvriront jamais.
Les nouveaux appareils Shelly Gen 4 de maison connectée maintiennent en permanence activé le point d’accès sans fil ouvert nécessaire à la configuration initiale, même une fois correctement reliés au réseau Wi-Fi du domicile, affirme Pen Test Partners. Il en résulte un réseau caché qui continue de fonctionner en arrière-plan à l’insu des utilisateurs, bien après la fin de l’installation.
À l’inverse, les modèles précédents de la marque désactivaient automatiquement ce point d’accès une fois l’appareil connecté au Wi-Fi domestique.
Cette vulnérabilité peut permettre à toute personne se tenant devant un logement d’utiliser le réseau Wi-Fi des occupants pour ouvrir la porte d’entrée, celle du garage ou le portail, créant ainsi un risque concret d’effraction et de cambriolage.
Mais le problème est bien plus vaste. Une enquête plus approfondie menée par Pen Test Partners affirme qu’il ne s’agit pas d’un simple défaut de conception.
La faille actuelle touchant la gamme Gen 4 signifie qu’un seul appareil compromis peut servir de tremplin pour accéder à pratiquement tous les appareils connectés du foyer, qu’ils soient de marque Shelly ou non.
Comme de nombreuses maisons connectées en Europe fonctionnent encore avec des réseaux mêlant plusieurs générations d’équipements, Shelly et d’autres marques, cela peut entraîner un sérieux manque de protection, à la fois en ligne et dans le monde réel.
Aucune mesure corrective pour l’instant
Pen Test Partners affirme avoir signalé cette faille de sécurité à Shelly, qui a indiqué que le micrologiciel 1.8.0, une série de mises à jour des appareils, devait la corriger.
En attendant, les utilisateurs doivent désactiver eux-mêmes les points d’accès manuellement, une démarche dont la plupart des propriétaires ne savent probablement même pas qu’elle est nécessaire.
« Ils devraient lancer une vaste campagne d’information pour expliquer qu’un point d’accès a été laissé ouvert et indiquer comment le désactiver. Ils ne l’ont pas fait, car cela risquerait de nuire à leur réputation », a déclaré à Euronews Next Ken Munro, fondateur de Pen Test Partners.
Shelly a indiqué à Euronews Next que les utilisateurs qui suivent les méthodes de configuration officielles via l’application mobile voient le point d’accès désactivé automatiquement.
Les utilisateurs qui optent pour une configuration manuelle reçoivent des avertissements les invitant à sécuriser le point d’accès. Une prochaine mise à jour du micrologiciel désactivera automatiquement les points d’accès après un certain délai.
« Nous tenons à souligner que tous les processus de configuration et tous les supports numériques de l’écosystème Shelly, y compris notre application mobile et notre interface web dans le cloud, fournissent aux utilisateurs des instructions claires pour sécuriser leurs appareils », a déclaré à Euronews Next un porte-parole de Shelly.
« Toute option de configuration choisie en dehors de ces parcours recommandés, y compris le fait de laisser le point d’accès non sécurisé, relève en définitive des préférences de l’utilisateur et échappe au contrôle direct de la plateforme.
« Comme pour tout appareil connecté, les utilisateurs restent libres de configurer leur matériel selon leurs besoins, et nous les encourageons vivement à suivre les recommandations de sécurité fournies lors de l’installation », a-t-il ajouté.
Shelly a également souligné qu’une prochaine version du micrologiciel intégrerait une amélioration permettant de désactiver automatiquement le point d’accès après un délai prédéfini, sauf s’il est explicitement nécessaire pour la configuration ou la mise en service, dans une prochaine mise à jour logicielle.
Une recrudescence des failles dans les objets connectés
Ces dernières années, un nombre croissant d’appareils pour la maison connectée et d’autres objets connectés ont été pointés du doigt pour des failles importantes. C’est le cas notamment des sonnettes Ring d’Amazon et des caméras de surveillance Dahua.
« Notre domaine d’expertise, ce sont les objets connectés, et nous testons toutes sortes de systèmes pour la maison connectée », a indiqué Munro.
« Nous avons constaté des problèmes similaires sur des onduleurs solaires et même mis au jour une vulnérabilité comparable dans une voiture il y a plus de dix ans. »
Les fuites de données issues de ces appareils pour la maison connectée, notamment en ce qui concerne les données d’usage et de comportement, constituent un autre problème majeur.
« Il nous arrive de découvrir que des données d’usage et de comportement des utilisateurs ont fuité par accident. Les fabricants d’objets connectés collectent des données d’utilisation pour améliorer leurs produits et ils oublient souvent que, prises individuellement, ces données peuvent être très révélatrices », a expliqué Munro.