Dans notre monde technologique, il semble que chaque avancée scientifique visant à faciliter nos vies s’accompagne de dangers inhérents pour notre vie privée et même pour notre sécurité.
Cela s'applique également aux appareils électroménagers qui sont désormais intégrés à ce que l'on appelle « l'Internet des objets ».
Il est récemment apparu que des robots aspirateurs fabriqués par Ecovacs se promenaient dans la maison de leurs propriétaires, leur criant des jurons via les haut-parleurs intégrés.
Cela est dû au fait que le logiciel de l'entreprise s'est révélé très vulnérable aux intrusions.
Des rapports récents montrent qu'il y a eu plusieurs épisodes à travers les États-Unis au cours desquels les propriétaires d'aspirateurs Ecovacs ont été surpris par le comportement inhabituel de leurs appareils.
Gizmodo a rapporté :
« Cela ressemblait à un signal radio interrompu ou quelque chose comme ça », a déclaré Daniel Swenson au média. « On pouvait entendre des extraits de voix, peut-être ». Il a ouvert l'application de l'aspirateur et a découvert qu'un inconnu accédait au flux de la caméra en direct et à la fonction de télécommande, mais a supposé qu'il s'agissait peut-être d'une erreur. Après avoir réinitialisé le mot de passe et redémarré le robot, l'aspirateur a rapidement recommencé à bouger :
Cette fois, il n’y avait aucune ambiguïté sur ce qui sortait de l’orateur. Une voix criait haut et fort des obscénités racistes, juste devant le fils de M. Swenson. 'F*** n*****s', criait la voix encore et encore.
La curieuse conclusion de Swenson à partir de cette situation était que « cela aurait pu être pire ».
Le pirate informatique leur a fait savoir que son aspirateur avait été piraté au lieu de les espionner indéfiniment, comme dans le cas de 2022 dans lequel un Roomba a pris des photos d'une femme dans la salle de bain et les a publiées en ligne (voir ci-dessous).
Le problème le plus courant d'un appareil domestique « intelligent » est que, si le fabricant fait faillite ou cesse d'une manière ou d'une autre de prendre en charge le logiciel pour accéder aux fonctionnalités de base de l'appareil, celui-ci devient tout simplement inutile.
« Le problème le plus inquiétant se pose lorsque les appareils intelligents sont accessibles à distance et que le fabricant n’a jamais envisagé (ou ne s’est pas soucié) de la possibilité que des escrocs puissent en profiter pour tourmenter les gens chez eux. L'accès à distance est pratique, mais tous les deux ans, nous entendons parler de quelque chose d'anormal, comme des intrus accédant à un babyphone et chuchotant à travers celui-ci la nuit, ou accédant à une porte de garage pour embêter son propriétaire. La plupart du temps, l’intention de ces intrus est simplement d’être des punks. Mais il faut se demander combien de fois cela arrive et personne ne le sait.
Dans la plupart des cas, ces entreprises vendent du matériel grand public et ne se soucient pas beaucoup de la sécurité.
La plupart des gens souhaitent simplement acheter l’aspirateur le moins cher disponible, ce qui signifie souvent qu’une entreprise ne met pas en place de mesures de sécurité de base.
« Bien que les comptes Ecovacs soient protégés par mot de passe et qu'un code PIN supplémentaire à quatre chiffres soit requis pour accéder au flux vidéo, ce code PIN n'est pas validé côté serveur, ce qui signifie que toute personne possédant le savoir-faire de base d'un outil tel que l'inspecteur Web Chrome. pourrait le contourner. Il est probable que Swenson réutilisait les informations d'identification d'autres services, mais le code aurait de toute façon dû être un facteur supplémentaire qui empêchait l'accès. Au strict minimum, tout ce qu'Ecovacs doit faire est une validation de base « si vrai » sur ses serveurs avant d'ouvrir le flux vidéo.
Ecovacs indique qu'une mise à jour de sécurité substantielle sera publiée en novembre.
En savoir plus:
Le MIT révèle que le Roomba a enregistré une femme sur les toilettes – puis les images se sont retrouvées sur Facebook