Les appareils domestiques intelligents sont avant tout une question de commodité. Mais chaque fois que vous ajoutez un nouvel appareil intelligent à votre maison, vous introduisez également des vulnérabilités potentielles. Les verrous U-Tech, qui pourraient être déverrouillés à distance par des pirates informatiques, démontrent ce fait. Chercheurs dans un partenariat entre PCMag et Bitdefender a trouvé une faille dans la serrure intelligente d'août, et bien que les pirates ne puissent pas l'utiliser pour ouvrir votre porte, ils peuvent accéder à votre réseau domestique.
Le problème en question n'affecte pas toutes les écluses d'août, mais uniquement le Août Smart Lock Pro + Connect. C'est le bit + Connect qui cause le problème. Le August Smart Lock Pro existe depuis trois ans et est un choix populaire parmi les fans d'août. Mais l'unité elle-même n'a pas de Wi-Fi intégré, vous ne pouvez la contrôler que via Bluetooth. Si vous souhaitez un accès à distance, vous devez ajouter le pont Connect, qui fournit une connexion Wi-Fi.
Ce n'est pas rare pour les serrures intelligentes ou d'autres appareils similaires, et la façon dont vous connectez le pont à August Smart Lock n'est pas rare non plus. Comme il ne dispose pas de clavier ni d'écran tactile, vous ne pouvez pas simplement brancher directement vos informations Wi-Fi. Au lieu de cela, le pont diffusera une connexion Wi-Fi; vous vous connectez à votre appareil intelligent et fournissez vos identifiants Wi-Fi.
La bonne nouvelle est que August a sagement chiffré ce processus de communication. Le simple fait d'écouter le réseau ne vous donnera pas les informations d'identification. La mauvaise nouvelle est qu'August a câblé ce cryptage dans le micrologiciel et a utilisé un cryptage relativement faible.
Comme l’a dit PCMag, August s’est appuyé sur «l’obscurcissement du cryptage plutôt que de le protéger». Les pirates peuvent percer cela et écouter quand vous transmettez vos informations d'identification Wi-Fi à votre pont d'août.
Bien que cela ressemble à une fenêtre limitée, Bitdefender a déjà démontré une technique pour supprimer un pont similaire du réseau. Cela conduirait l'utilisateur à recommencer le processus d'association. Ainsi, un pirate avec suffisamment de patience pourrait vous forcer à saisir à nouveau vos informations d'identification pendant une fenêtre de temps qu'il écoute.
Bitdefender a informé August du problème en décembre 2019 et, pour le moment, la société n'a pas résolu le problème. Bitdefender donne généralement une fenêtre de 90 jours pour résoudre un problème avant de devenir public, mais à ce stade, les chercheurs en sécurité ont attendu trois fois plus longtemps.
C’est malheureux, en particulier pour une entreprise de maison intelligente qui fabrique des produits spécialement conçus pour la sécurité. Bien que les vrais pirates ne puissent pas ouvrir vos serrures, ils peuvent utiliser la faille pour accéder à votre réseau domestique, et c'est presque aussi grave. Ils peuvent accéder à presque tous les appareils de votre réseau, y compris les unités NAS ou votre file d'attente d'impression. En théorie, ils pourraient même accéder à des caméras de sécurité.
Espérons que August corrigera le problème le plus tôt possible. jen une déclaration à PCMag, August a déclaré: «L'équipe d'août est consciente de la vulnérabilité et travaille actuellement pour résoudre le problème. Pour le moment, nous n'avons connaissance d'aucun compte client concerné. »
Si et quand août corrige le problème, nous mettrons à jour cet article avec ces informations.
via PCMag, Bitdefender