Allumer et éteindre la lumière est quelque chose dont vous n’aurez jamais à vous soucier avec le meilleures lumières intelligentes installé chez vous. Cependant, tout comme les autres appareils intelligents pour la maisonils peuvent être ciblés et attaqués par des pirates.
Les ampoules intelligentes Tapo de TP-Link sont incroyablement populaires et cela s’explique en partie par le fait qu’elles sont nettement moins chères que les ampoules intelligentes Tapo de TP-Link. Lampes Philips Hue. Cependant, de nouvelles recherches ont découvert plusieurs vulnérabilités dans les ampoules elles-mêmes ainsi que dans l’application Tapo qui peuvent être exploitées par des pirates pour voler le contenu. Mot de passe WiFi à votre réseau domestique.
Comme le rapporte BipOrdinateurdes chercheurs de l’Université de Catane en Italie et de l’Université de Londres au Royaume-Uni ont publié une étude nouveau papier (PDF) révélant comment les ampoules intelligentes de TP-Link peuvent être piratées pour accéder au Wi-Fi de votre maison.
Il convient de noter que l’objectif des chercheurs était de faire la lumière sur les failles de sécurité qui existent dans des milliards d’appareils IoT intelligents utilisés dans les foyers du monde entier. La raison pour laquelle ils ont choisi les ampoules intelligentes Tapo de TP-Link à analyser était due à leur popularité.
Défauts de l’ampoule intelligente Tapo
Au total, les chercheurs ont découvert quatre vulnérabilités dans les ampoules intelligentes Tapo de TP-Link et son application Tapo, allant de failles de gravité élevée à moyenne.
La première vulnérabilité, qui a un score CVSS v3.1 de 8,8 et a été jugée de haute gravité, implique une authentification incorrecte sur l’ampoule intelligente Tapo L530E. S’il est exploité, il peut permettre à un attaquant d’usurper l’identité de l’appareil lors de l’étape d’échange de clé de session. Dans le même temps, un attaquant adjacent peut l’utiliser pour récupérer les mots de passe des utilisateurs Tapo et manipuler les appareils Tapo.
La deuxième vulnérabilité est également une faille de haute gravité avec un score CVSS v3.1 de 7,6 attribué à un secret partagé à somme de contrôle courte codé en dur que les attaquants peuvent obtenir soit par force brute, soit en décompilant l’application Tapo.
La troisième vulnérabilité est une faille de gravité moyenne qui concerne le manque de caractère aléatoire lors du cryptage symétrique qui rend prévisible le schéma cryptographique utilisé dans les ampoules intelligentes Tapo. Enfin, la quatrième vulnérabilité maintient les clés de session valides pendant 24 heures en raison d’un manque de contrôle de la fraîcheur des messages reçus. Durant cette période, un attaquant pourrait rejouer ces messages.
En exploitant les première et deuxième vulnérabilités, un attaquant pourrait usurper l’identité d’une ampoule Tapo et récupérer les détails du compte d’un utilisateur depuis l’application Tapo. À partir de là, ils pourraient ensuite extraire le SSID et le mot de passe Wi-Fi du réseau domestique d’un utilisateur, ce qui pourrait lui permettre d’accéder à tous les appareils qui y sont connectés. Bien qu’une ampoule intelligente Tapo doive être en mode configuration pour mener à bien cette attaque, ils pourraient désauthentifier l’ampoule elle-même, ce qui obligerait ensuite l’utilisateur à la configurer à nouveau.
Heureusement pour les propriétaires d’ampoules intelligentes Tapo, TP-Link est conscient de ces vulnérabilités et l’entreprise a déjà pris des mesures pour y remédier. Dans un e-mail adressé à Tom’s Guide, un porte-parole de TP-Link a fourni plus d’informations sur ce qui a été corrigé jusqu’à présent et sur les autres solutions en cours, en déclarant :
« En juin, l’éditeur Bill nous a contactés et nous avons immédiatement mis à jour l’application. Actuellement, l’application a été entièrement publiée dans la dernière version sans aucune vulnérabilité. De plus, concernant le problème avec L530E, le problème 1 a été correctement résolu. La résolution des autres problèmes 2, 3 et 4 est également en cours et un nouveau firmware sera publié demain qui résoudra tous les problèmes restants.
Comment protéger votre maison intelligente des pirates informatiques
Si vous possédez déjà une maison intelligente ou envisagez de construire la vôtre Maison intelligente bricolageil existe quelques trucs et astuces que vous pouvez utiliser pour protéger vos appareils domestiques intelligents ainsi que les autres appareils de votre réseau domestique contre les pirates informatiques.
Pour commencer, c’est toujours une bonne idée de garder vos appareils intelligents isolés des autres appareils de votre réseau. Beaucoup de meilleurs routeurs Wi-Fi et le meilleurs systèmes Wi-Fi maillés vous donne la possibilité de créer un réseau séparé uniquement pour vos appareils domestiques intelligents. Cependant, si votre routeur Wi-Fi ne le fait pas, vous pouvez toujours créer un Réseau d’invités pour réaliser la même chose.
Par exemple, j’utilise personnellement le TP-Link Déco XE75 pour mon propre réseau domestique et comme les autres routeurs maillés, il combine les bandes 2,4, 5 et 6 GHz en un seul réseau. Comme de nombreux appareils intelligents ne fonctionnent que sur la bande 2,4 GHz, j’ai utilisé l’application Deco pour créer un réseau invité sur la bande 2,4 GHz auquel je garde mes appareils intelligents connectés.
Tout comme avec votre ordinateur portable et votre smartphone, vous voulez vous assurer que vous maintenez tous vos appareils intelligents à jour en installant le dernier micrologiciel dès qu’il est disponible. De même, vous souhaitez également activer l’authentification à deux facteurs (2FA) dans l’application d’un fabricant d’appareils pour maison intelligente, si elle est disponible.
Enfin, de la même manière que vous sécurisez tous vos comptes en ligne avec un mot de passe fort, vous souhaitez faire la même chose pour vos appareils domestiques intelligents et leurs applications respectives. L’un des meilleurs gestionnaires de mots de passe peuvent vous faciliter la tâche car ils génèrent pour vous des mots de passe forts que vous pouvez ensuite utiliser le remplissage automatique pour saisir au moment de vous connecter.
L’IoT et les appareils domestiques intelligents ont la réputation d’être vulnérables aux pirates, car de nombreux fabricants ne les mettent pas à jour et ne les corrigent pas en conséquence. Cependant, dans ce cas, TP-Link a déjà pris des mesures pour corriger ces failles afin qu’elles ne puissent pas être exploitées par des pirates dans la nature.