Le géant américain de l’électricité et de l’électronique Eaton a corrigé une faille de sécurité qui permettait à un chercheur en sécurité d’accéder à distance à des milliers de systèmes d’alarme de sécurité intelligents.
Chercheur en sécurité Vangelis Stykas a déclaré avoir trouvé la vulnérabilité dans SecureConnect d’Eaton, un système basé sur le cloud qui permet aux clients d’accéder, de gérer, d’armer et de désarmer à distance leurs systèmes d’alarme de sécurité à partir d’une application mobile.
Stykas a déclaré que la vulnérabilité permettait à quiconque de s’inscrire en tant que nouvel utilisateur et d’attribuer ce compte à tout autre groupe d’utilisateurs, y compris un groupe « racine », qui a accès à tous les systèmes d’alarme intelligents connectés au cloud d’Eaton.
La vulnérabilité est connue sous le nom de référence d’objet directe non sécurisée, ou IDOR, une classe de bogue de sécurité qui permet un accès incontrôlé aux fichiers, aux données ou aux comptes d’utilisateurs en raison de contrôles d’accès faibles ou manquants sur un serveur. Stykas a déclaré que le bogue était facile à exploiter à l’aide d’outils intermédiaires tels que Burp Suite en interceptant le numéro de groupe du nouvel utilisateur et en l’échangeant avec le numéro du groupe racine, qui était simplement « 1 ».
Stykas a déclaré que l’ajout d’un utilisateur au groupe racine « donnait accès à tout », y compris le nom et l’adresse e-mail de l’utilisateur enregistré, ainsi que l’emplacement de chaque système d’alarme de sécurité connecté. Stykas a déclaré que l’accès aurait pu permettre à un attaquant potentiel de contrôler à distance les systèmes d’alarme de sécurité connectés au cloud d’Eaton – bien qu’il n’ait pas tenté cela.
Dans une notification de sécurité publiée sur son site Web, Eaton a confirmé que le bogue avait été découvert dans sa logique d’autorisation d’accès de groupe.
Jonathan Hart, porte-parole d’Eaton, a déclaré que la vulnérabilité avait été corrigée en mai. Hart a refusé de dire combien de clients d’alarmes intelligentes il avait, bien que Stykas ait déclaré que le nombre de systèmes d’alarme intelligents connectés à Eaton se chiffrait à plusieurs dizaines de milliers.
Eaton a refusé de dire si la vulnérabilité permettait le contrôle à distance des systèmes d’alarme de sécurité connectés. Eaton a déclaré que la vulnérabilité avait été « vérifiée comme étant un événement unique », mais n’a pas précisé comment elle en était arrivée à cette conclusion ni si l’entreprise disposait des moyens techniques, tels que des systèmes de journalisation, pour déterminer si la vulnérabilité avait déjà été découverte ou exploitée.