Une vulnérabilité dans un système de contrôle d’accès intelligent utilisé dans des milliers de logements locatifs aux États-Unis permet à quiconque de contrôler à distance n’importe quelle serrure dans une maison concernée. Mais Chirp Systems, la société qui fabrique le système, a ignoré les demandes visant à corriger la faille.
L’agence américaine de cybersécurité CISA a rendu public la semaine dernière un avis de sécurité indiquant que les applications téléphoniques développées par Chirp, que les résidents utilisent à la place d’une clé pour accéder à leur domicile, « stockent de manière inappropriée » des informations d’identification codées en dur qui peuvent être utilisées pour contrôler à distance n’importe quel Chirp. serrure intelligente compatible.
Les applications qui s’appuient sur des mots de passe stockés dans leur code source, appelés informations d’identification codées en dur, constituent un risque pour la sécurité, car n’importe qui peut extraire et utiliser ces informations d’identification pour effectuer des actions usurpant l’identité de l’application. Dans ce cas, les informations d’identification permettaient à quiconque de verrouiller ou de déverrouiller à distance une serrure de porte connectée à Chirp via Internet.
Dans son avis, la CISA a déclaré qu’une exploitation réussie de la faille « pourrait permettre à un attaquant de prendre le contrôle et d’obtenir un accès physique illimité » aux serrures intelligentes connectées à un système de maison intelligente Chirp. L’agence de cybersécurité a attribué la note de gravité de la vulnérabilité de 9,1 sur un maximum de 10 pour sa « faible complexité d’attaque » et pour sa capacité à être exploitée à distance.
L’agence de cybersécurité a déclaré que Chirp Systems n’avait répondu ni à la CISA ni au chercheur qui avait découvert la vulnérabilité.
Le chercheur en sécurité Matt Brown a déclaré au journaliste chevronné en sécurité Brian Krebs qu’il avait informé Chirp du problème de sécurité en mars 2021, mais que la vulnérabilité n’était toujours pas corrigée.
Chirp Systems fait partie d’un nombre croissant d’entreprises dans le domaine de la technologie immobilière qui fournissent aux géants de la location des contrôles d’accès sans clé qui s’intègrent aux technologies de maison intelligente. Les sociétés de location obligent de plus en plus les locataires à autoriser l’installation d’équipements de maison intelligente comme dicté par leurs baux, mais il est au mieux flou de savoir qui assume la responsabilité ou la propriété lorsque des problèmes de sécurité surviennent.
Le géant de l’immobilier et de la location, Camden Property Trust, a signé un accord en 2020 pour déployer des serrures intelligentes connectées Chirp dans plus de 50 000 unités réparties dans plus d’une centaine de propriétés. On ne sait pas si les propriétés concernées comme Camden sont conscientes de la vulnérabilité ou ont pris des mesures. Kim Callahan, porte-parole de Camden, n’a pas répondu à une demande de commentaire.
Chirp a été racheté par le géant des logiciels de gestion immobilière RealPage en 2020, et RealPage a été acquis par le géant du capital-investissement Thoma Bravo plus tard cette année-là dans le cadre d’un accord de 10,2 milliards de dollars. RealPage est confronté à plusieurs contestations judiciaires suite à des allégations selon lesquelles son logiciel de fixation des loyers utilise des algorithmes secrets et exclusifs pour aider les propriétaires à augmenter les loyers les plus élevés possibles pour les locataires.
Ni RealPage ni Thoma Bravo n’ont encore reconnu les vulnérabilités du logiciel acquis, ni indiqué s’ils envisageaient d’informer les résidents concernés du risque de sécurité.
Jennifer Bowcock, porte-parole de RealPage, n’a pas répondu aux demandes de commentaires de TechCrunch. Megan Frank, porte-parole de Thoma Bravo, n’a pas non plus répondu aux demandes de commentaires.