On sait déjà qu’il est possible d’utiliser des objets connectés pour mener des attaques DDoS massives. Mais il est également possible de détourner des équipements de l'Internet des objets pour pirater des smartphones. C’est ce qu’ont pu démontrer des chercheurs lors de la Black Hat Europe 2016 qui se tient actuellement à Londres (du 1er au 4 novembre). Une équipe d'Invincea Labs a réussi à pirater des interrupteurs Iot WeMo de Belkin (commutateurs électriques, caméras, ampoules, cafetières, purificateurs d'air, etc.). Mais pas seulement : ils ont également pu utiliser cet accès pour attaquer un téléphone Android sur lequel tournait l'application qui contrôle les appareils WeMo. « C'est la première fois que l’on met en évidence le piratage d’un autre appareil par un objet IoT », a expliqué le chercheur Scott Tenaglia, déterminé à identifier les autres dispositifs vulnérables qui pourraient servir à mener des attaques similaires. Il a présenté les recherches menées avec son collègue chercheur Joe Tanen sur Black Hat Europe. Le constructeur Belkin a déclaré qu’il avait livré des correctifs pour patcher les vulnérabilités incriminées.

Le nom de l'interrupteur est remplacé par du code malveillant

Pour mener à bien leur attaque, Scott Tenaglia et Joe Tanen ont d’abord connecté un ordinateur portable au réseau auquel était relié le périphérique WeMo. Ensuite, ils ont communiqué avec l'appareil via des messages UPnP (Universal plug and play), « essentiellement des requêtes Web vers des URL spécifiques sur l'appareil », comme l’a expliqué Scott Tenaglia. Une des requêtes leur a permis de modifier le nom original de l'appareil, qu’ils ont remplacé par une chaîne de code malveillant. Grâce à l’application WeMo sous Androïd, un utilisateur peut contrôler les appareils WeMo de Belkin. Quand l’application est activée, elle recherche des équipements qui se trouvent dans son environnement immédiat. Les appareils WeMo répondent notamment à ces requêtes en retournant leur nom. « Si le nom est une chaîne malveillante, ce code est exécuté dès qu’il arrive dans l'application », a déclaré Scott Tenaglia.

Afin de montrer les capacités de nuisance d'une telle manoeuvre, les chercheurs ont téléchargé toutes les photos de la caméra du smartphone sur un serveur distant. Ils ont également piraté les préférences de localisation du mobile et l’ont transformé en traqueur de géolocalisation. « Le hack ne compromet pas toutes les fonctions du téléphone, seulement les services auxquels l'application WeMo a accès. C’est-à-dire le téléphone, la caméra, le stockage et la localisation », a-t-il précisé. « L'accès malveillant est maintenu même quand l'application travaille en arrière-plan », a-t-il ajouté. « La seule façon de l'arrêter est de forcer l'app mobile à quitter, ce que font peu d'utilisateurs », a-t-il encore déclaré. Les chercheurs ont pu compromettre l’appareil WeMo en passant par le réseau local, mais il serait possible d’arriver au même résultat en passant par l'infrastructure cloud de Belkin. Selon Scott Tenaglia, Belkin n’autorise pas les chercheurs à toucher à son infrastructure cloud, mais les pirates informatiques ne demanderaient pas d’autorisation pour compromettre ses serveurs.

Sans doute des impacts à plusieurs niveaux avec l'IoT

À l'avenir, il faudra considérer que les applications de contrôle des périphériques IoT sont une menace potentielle pour la sécurité. « C’est au consommateur de décider s’il veut utiliser l’Internet en connaissance de cause, quel que soit le périphérique, en sachant que cette connexion peut affecter la sécurité de son téléphone », estime Scott Tenaglia. Alors qu'il compte mener d’autres recherches sur la sécurité des objets IoT, il pense que les pirates vont certainement profiter de ce nouvel accès pour compromettre les téléphones mobiles. « Il faut s’attendre à d’autres effets de second ou de troisième ordre à mettre sur le compte des dispositifs IoT. Mais nous n'y avons pas encore pensé », a conclu le chercheur d'Invincea Labs.