L’un des principaux fournisseurs de solutions de cybersécurité dans le monde a révélé aujourd’hui via Check Point Research, son équipe dédiée aux renseignements sur les menaces, des vulnérabilités qui permettraient à des pirates d’installer des logiciels rançonneurs ou d’autres logiciels malveillants sur les réseaux des entreprises et des particuliers, en prenant le contrôle d’ampoules intelligentes et de leur contrôleur.

Des chercheurs de Check Point ont démontré comment des pirates pourraient exploiter un réseau d’objets connectés (ampoules intelligentes et passerelle de contrôle) pour lancer des attaques sur les réseaux informatiques classiques de particuliers, d’entreprises ou même de villes intelligentes.  Les chercheurs se sont concentrés sur les ampoules intelligentes Philips Hue et leur contrôleur, et ont découvert des vulnérabilités (CVE-2020-6007) qui leur ont permis de s’infiltrer dans des réseaux en exploitant une vulnérabilité à distance dans le protocole sans fil à faible puissance ZigBee, qui est utilisé pour contrôler différents types d’objets connectés.

Dans une analyse publiée en 2017 sur la sécurité des ampoules intelligentes contrôlées par ZigBee, des chercheurs ont été en mesure de prendre le contrôle d’une ampoule Hue dans un réseau, d’y installer un microprogramme malveillant et le propager à d’autres réseaux d’ampoules adjacents. En raison de limites inhérentes de conception, le fournisseur n’a pu corriger que la vulnérabilité de propagation, permettant cependant toujours aux pirates de prendre le contrôle des ampoules Hue d’une cible. En utilisant cette vulnérabilité restante, nos chercheurs ont décidé de pousser plus loin cette étude initiale et ont utilisé l’ampoule Hue comme plate-forme pour prendre le contrôle du contrôleur des ampoules et, finalement, d’attaquer le réseau informatique de la cible. Il convient de noter que les générations matérielles plus récentes d’ampoules Hue n’ont pas la vulnérabilité exploitée.

Scénario de l’attaque :

1. Un pirate contrôle la couleur ou la luminosité de l’ampoule pour faire croire à son utilisateur que l’ampoule a un problème. L’ampoule apparaît comme étant « inaccessible » dans l’application de contrôle de l’utilisateur, qui essaiera donc de la « réinitialiser ».
2. La seule façon de réinitialiser l’ampoule est de la retirer de l’application, puis de demander à la passerelle de contrôle de la redécouvrir.
3. La passerelle de contrôle découvre l’ampoule compromise, et l’utilisateur l’ajoute à son réseau.
4. L’ampoule contrôlée par le pirate avec un microprogramme altéré utilise alors les vulnérabilités du protocole ZigBee pour déclencher un débordement de tampon dans la pile de la passerelle de contrôle, en lui envoyant une grande quantité de données. Ces données permettent également au pirate d’installer des logiciels malveillants sur la passerelle, qui est à son tour connectée au réseau de l’entreprise ou du domicile cible.
5. Les logiciels malveillants se connectent à l’infrastructure du pirate et, grâce à l’exploitation d’une vulnérabilité connue (par ex. EternalBlue), ils peuvent s’infiltrer dans le réseau IP cible à partir de la passerelle pour diffuser des logiciels rançonneurs ou des logiciels espions.

« Beaucoup d’entre nous sont conscients que les objets connectés peuvent poser un risque pour la sécurité, mais cette étude démontre comment même les dispositifs les plus banals, apparemment « passifs » tels que des ampoules électriques, peuvent être exploités par des pirates et utilisés pour prendre le contrôle de réseaux ou installer des logiciels malveillants, » déclare Yaniv Balmas, Head of Cyber Research chez Check Point Research.

« Il est essentiel que les entreprises et les particuliers se protègent contre ces attaques potentielles en mettant à jour leurs appareils avec les derniers correctifs, et en les séparant des autres appareils de leurs réseaux pour limiter la propagation d’éventuels logiciels malveillants. Dans le paysage complexe des attaques de 5e génération, nous ne pouvons pas nous permettre de négliger la sécurité de tout ce qui est connecté à nos réseaux. »

L’étude réalisée avec l’aide de l’Institut Check Point pour la sécurité de l’information (CPIIS) de l’Université de Tel-Aviv, a été communiquée à Philips et Signify (le propriétaire de la marque Philips Hue) en novembre 2019. Signify a confirmé l’existence de la vulnérabilité dans ses produits, et a publié une version corrigée du microprogramme (version 1935144040) qui est désormais disponible par une mise à jour automatique Nous recommandons aux utilisateurs de s’assurer que leur produit a reçu la mise à jour automatique de cette version du microprogramme.

” Nous nous engageons à protéger la vie privée de nos utilisateurs et faisons tout le nécessaire pour sécuriser nos produits. Nous remercions Checkpoint pour sa collaboration et ses communications responsables, qui nous ont permis de mettre au point et d’implémenter les patches nécessaires pour éviter tout risque pour les consommateurs “, déclare George Yianni, Head of Technology de Philips Hue.

Voici une vidéo de démonstration du déroulement de l’attaque. Les détails techniques complets de l’étude seront publiés ultérieurement afin de donner aux utilisateurs le temps de corriger leurs appareils vulnérables.

Check Point est la première entreprise à fournir une solution de sécurité consolidée qui renforce le microprogramme des objets connectés et les protège. Grâce à une technologie récemment acquise apportant une protection embarquée sur les objets connectés, Check Point aide les entreprises à atténuer les attaques au niveau des appareils pour qu’ils ne puissent être compromis.