Selon l’éditeur de sécurité Avast, les logements intelligents peuvent être piratés via les serveurs MQTT (Message Queuing Telemetry Transport) non protégés par mot de passe, MQTT étant un protocole de messagerie dédié à l’Internet des Objets et permettant de connecter des systèmes entre eux.
Les serveurs MQTT mal configurés – ils seraient 49 000 à être publiquement visibles en ligne dans le monde à cause d’une mauvaise configuration du protocole, dont 32 000 non protégés par mot de passe – peuvent être piratés de multiples façons, affirme l’éditeur. En France, près de 900 serveurs, non protégés par des mots de passe, seraient concernés. Ce protocole MQTT “est utilisé pour interconnecter et contrôler les appareils connectés domestiques, via des hubs – des appareils physiques qui centralisent et mettent en relation les objets intelligents. Lors de son implémentation, les particuliers configurent un serveur, généralement situé sur un PC, ou un mini-ordinateur tel que Raspberry Pi, sur lequel les appareils se connectent et communiquent“, explique-t-il. “Bien que le protocole MQTT en lui-même soit sécurisé, de graves problèmes de protection peuvent survenir s’il n’est pas correctement implémenté et configuré. Les cybercriminels pourraient en effet avoir un accès complet à un domicile et savoir quand les propriétaires, ou occupants, sont présents, manipuler les appareils au service du divertissement et ménagers, ainsi que les assistants vocaux ; et voir si des portes et des fenêtres intelligentes sont ouvertes ou fermées. Parfois, les hackers peuvent même suivre à la trace un utilisateur, ce qui peut constituer une menace grave pour la vie privée et la sécurité“, prévient-il.
Martin Hron, chercheur en sécurité chez Avast, précise dans un billet de blog les possibilités d’exploitation des serveurs mal configurés.
1 Les cybercriminels repèrent d’abord les serveurs MQTT ouverts et non protégés en utilisant le moteur de recherche Shodan IoT. Une fois connectés, ils sont en mesure de lire les messages qui ont été transmis avec le protocole MQTT, et peuvent savoir, grâce aux capteurs intelligents, si les fenêtres et les portes sont ouvertes, ou si les lumières sont allumées ou éteintes, par exemple. Dans ce cas particulier, Avast a constaté que des tiers pouvaient contrôler les appareils connectés, ou au moins compromettre les données en exploitant le protocole MQTT à la place des objets intelligents. Ainsi, un attaquant serait capable d’envoyer des messages au hub pour ouvrir la porte d’un garage.
2 Même si un serveur MQTT est protégé, Avast a observé qu’une maison intelligente pouvait être piratée. En effet, le tableau de bord, utilisé pour contrôler son panneau de configuration, s’exécute parfois sur la même adresse IP que le serveur MQTT. De nombreux particuliers utilisent des configurations par défaut, fournies avec le logiciel du hub, et qui ne sont bien souvent pas protégées par un mot de passe. Ce qui signifie qu’un hacker peut accéder à tout le tableau de bord, et ainsi prendre le contrôle de n’importe quel appareil intelligent présent dans la maison.
3 Même si le serveur MQTT et le tableau de bord sont protégés, Avast a découvert qu’avec Home Assistant, un logiciel pour hub, les échanges sont publics et accessibles aux cybercriminels s’ils sont effectués via le protocole ouvert et non protégé Server Message Block (SMB), utilisé pour partager des ressources sur des réseaux internes, principalement sous Windows. L’éditeur de sécurité a également constaté que des répertoires sont partagés avec tous les fichiers de Home Assistant, y compris avec ceux liés à la configuration. Dans les fichiers exposés, Avast en a identifié un contenant des mots de passe et des clés, stockés en texte brut. Or, ces informations peuvent permettre à un pirate de contrôler complètement le domicile d’une personne.
4 Les particuliers peuvent utiliser des outils et des applications pour créer un tableau de bord pour leur maison intelligente, basés sur MQTT, afin de contrôler leurs appareils connectés, notamment avec l’application MQTT Dash. Les utilisateurs ont la possibilité de publier les paramètres, configurés à l’aide du tableau de bord, sur le serveur MQTT. Ainsi, il est très simple de reproduire ces paramètres sur tous les périphériques souhaités. Seulement, si le serveur utilisé n’est pas sécurisé, un cybercriminel peut facilement accéder au tableau de bord et pirater la maison.
5 Avast a par ailleurs pu observer que les serveurs MQTT peuvent, dans certains cas, permettre aux hackers de suivre la localisation des utilisateurs, car ils se concentrent généralement sur les données en temps réel. Nombreux sont ceux connectés à une application mobile appelée OwnTracks. Cette dernière donne aux particuliers la possibilité de partager leur position avec d’autres personnes. Elle peut également être utilisée pour permettre aux appareils connectés de s’activer automatiquement, comme les lampes par exemple, dès lors que les propriétaires ou occupants de la maison intelligente s’en rapprochent. Pour ce faire, ils doivent configurer l’application en se connectant à un serveur MQTT, et donc exposer ce dernier à Internet. Au cours de ce processus, les utilisateurs ne sont pas obligés de configurer les informations de connexion, ce qui signifie que n’importe qui peut se connecter au serveur, y compris les cybercriminels. Ils sont alors en mesure d’accéder à un certain nombre d’informations, telles que le niveau de batterie d’un périphérique, l’emplacement en utilisant la latitude, la longitude et les points d’altitude, ainsi que les dates et les heures des déplacements.