Une équipe de soi-disant « hacktivistes » composée de chercheurs en sécurité a révélé la plus grosse faille de sécurité à ce jour, dans une base de donnée de maisons connectées.

Les chercheurs en question, Noam Rotem et Ran Locar du site vpnMentor, ont découvert qu’une base de données utilisateur appartenant à une entreprise chinoise du nom d’Orvibo, et qui dirige une plateforme de gestion IoT (internet des objets), a été laissée exposée sur Internet sans aucun mot de passe pour la protéger. Jusque-là, c’est déjà ahurissant. La base de données inclut plus de 2 milliards de logs (le log désigne un type de fichier, ou une entité équivalente, dont la mission principale consiste à stocker un historique des événements). contenant des données allant des mots de passe des utilisateurs à des codes pour réinitialiser leurs comptes, et même des conversations enregistrées via une caméra « intelligente ».

Qu’est-ce qu’Orvibo ?

Orvibo est une entreprise chinoise basée à Shenzhen d’où elle dirige une plate-forme de gestion d’appareils connectés. Le site web d’Orvibo se targue de posséder un cloud sécurisé fournissant une « plate-forme cloud fiable de maisons connectées, » et continue ensuite en mentionnant comment il « supporte des millions d’appareils IoT et garantie la sécurité des données. » On peut imaginer que les chercheurs de vpnMentor en doutent sérieusement, si l’on considère le fait que la méthodologie de la faille en elle-même était scandaleusement prévisible : une base de données Elasticsearch mal configurée et connectée à Internet sans mot de passe. Pour remuer le couteau dans la plaie, Kibana, une application web rendant plus facile la navigation à travers cette base de données, a également été laissée sans protection. Geoff Tudor, le directeur général de Vizion.ai, a laissé entendre que les failles Elasticsearch sont devenues presque quotidiennes. « Quand elle est installée pour la première fois, l’API (l’interface de programmation d’application) d’Elasticsearch est complètement ouverte et sans aucun mot de passe de protection, » dit-il, en ajoutant « tout ce qu’un hacker a besoin de faire, c’est de taper une URL contenant http://[serverIP]:9200, et un utilisateur pourra voir si une base de données Elasticsearch est opérationnelle. Il suffit ensuite d’une seule commande pour fouiller les données contenues dans celle-ci… »

Diminuer le risque

Selon le rapport de vpnMentor, la liste des données incluses dans la faille est étendue et comprend :

*Des adresses e-mail

*Des mots de passe

*Des codes de réinitialisation

*Des données précises de géolocalisation

*Des adresses IP

*Des noms d’utilisateurs

*Des identifiants

*Des noms de famille

*Des identifiants de familles

*Des listes d’appareils

*Des listes d’appareils ayant accès à tel ou tel compte

*Des informations de calendriers

De toutes ces données, les plus problématiques sont les mots de passe et les codes de réinitialisation enregistrés. Bien que ces derniers n’eussent pas été encryptés, ils avaient été hachés avec la fonction MD5. Contrairement à l’encryption, qui est une fonction réciproque conçue de manière à ce que les données puissent être décryptées à un moment donné, le hachage est un procédé unidirectionnel irréversible. Le hachage transforme un mot de passe compréhensible en une chaîne hexadécimale unique ; c’est un procédé d’authentification, une somme de contrôle, si vous voulez. Malheureusement, l’algorithme MD5 utilisé pour hacher ces mots de passe n’est pas considéré comme particulièrement sécurisé puisqu’il s’est avéré contenir quantité de vulnérabilités. L’incident Orvibo est allé encore plus loin en matière de dilution de la valeur de sécurité du hachage MD5 : les mots de passes et codes de réinitialisation avaient été hachés mais pas salés. En ajoutant une valeur unique, ou sel, à la fin de chaque mot de passe avant de le hacher, vous produisez une valeur de hachage différente. Cette couche de sécurité supplémentaire est vitale si vous voulez vous protéger d’une attaque par force brute essayant chaque combinaison alphanumérique connue jusqu’à ce que le mot de passe soit révélé. Il est également possible de diminuer l’efficacité des Rainbow tables, autrement dit des listes de hachés et leurs mots de passe correspondants, si chaque mot de passe haché possède un sel unique.

Que peuvent faire les attaquants avec ces données ?

Si l’on en croit les affirmations d’Orvibo selon lesquelles la plateforme aurait plus d’un million d’utilisateurs, y compris des particuliers possédant des systèmes de maisons connectées mais aussi des hôtels et d’autres entreprises clientes, les implications sont très étendues. Orvibo produit près de 100 dispositifs de maisons connectées ou d’automatisation intelligente. Le rapport vpnMentor indique qu’il a trouvé des logs d’utilisateurs en Chine, au Japon, en Thaïlande, au Mexique, en France, en Australie, au Brésil, au Royaume-Uni, et aux États-Unis.

Selon les chercheurs, les codes de réinitialisation sont les informations les plus dangereuses ayant été trouvées dans la base de données. « Ces [codes] sont envoyés à un utilisateur afin de réinitialiser soit son mot de passe, soit son adresse e-mail, » explique le rapport, en ajoutant « avec cette information facilement accessible, un hacker pourrait empêcher un utilisateur d’accéder à son compte sans avoir besoin de mot de passe. Changer le mot de passe ainsi que l’adresse e-mail rendrait l’action irréversible. »

Mais tout cela représente seulement la partie émergée de l’iceberg, étant donné qu’un nombre conséquent de dispositifs de sécurité à domicile sont inclus dans la ligne de production d’Orvibo. Ces dispositifs comprennent des serrures intelligentes, des caméras de surveillance à domicile, et des kits complets de maisons connectées. « Avec l’information ayant été divulguée », alerte le rapport, « il est clair qu’il n’y a rien de sécurisé concernant ces dispositifs. N’installer ne serait-ce qu’un seul de ces appareils pourrait compromettre votre sécurité physique, plutôt que l’améliorer. »

« De mauvaises configurations laissant les serveurs ouverts et vulnérables sont un problème que nous avons vu ressurgir maintes et maintes fois, » indique Ben Herzberg, directeur de la recherche sur les menaces à Imperva. « Lorsque ces systèmes sont laissés ouverts, les attaquants ont une variété d’options à leur disposition. Ils peuvent utiliser les données à leur avantage, prendre le contrôle de ressources, » continue Harzberg, avant de conclure « ou bien pousser encore plus loin dans les réseaux de l’organisation et infiltrer des ressources supplémentaires. »

Que peut-on faire pour sécuriser ses données d’appareil connecté ?

« Des groupes criminels ont peut-être été au courant de cette vulnérabilité, mais il n’est pas certain que quelqu’un ait pris avantage de cette faille pour l’instant, » nous dit Jake Moore, un spécialiste cyber-sécurité à ESET, qui ajoute, « J’aurais espéré la mise en place rapide d’un patch, maintenant que la faille est connue. » Cet espoir peut sembler un peu trop optimiste suite aux déclarations de vpnMentor qui avait indiqué avoir contacté Orvibo pour la première fois le 16 juin sans recevoir de réponse. Il avait ensuite adressé un tweet à la société, mais il n’avait là non plus pas reçu de réponse. D’autre part, et malgré des efforts continus pour contacter l’entreprise, ZDNet rapporte non seulement que ces efforts restent sans réponse, mais que la base de données reste en libre accès en ligne sans aucun mot de passe de protection.

« La meilleure chose à faire pour les personnes concernées est de s’assurer que les mots de passe de leurs appareils connectés sont immédiatement changés et remplacés par quelque chose de long et complexe, et qu’il soit fait de même pour d’autres comptes utilisant le même mot de passe, » conseille Moore. Cependant, il fait également remarquer que si des groupes cyber-criminels se sont déjà introduits dans la base de données et surveillent actuellement leurs faits et gestes avant qu’un patch n’ait pu être installé, « elles feraient tout aussi bien de débrancher leur appareil jusqu’à ce que la situation soit corrigée. »

Ilia Kolochenko, fondateur et PDG de la société de sécurité web ImmuniWeb, conclue qu’au-delà du changement évident de mot de passe, les utilisateurs des appareils Orvibo ne peuvent pas faire grand-chose d’autre que de « déposer une plainte officielle et désactiver toute gestion à distance de leur maison, dans la mesure du possible. »