Thermostat Bosch BCC100 © Bosch
Thermostat Bosch BCC100 © Bosch

Les chercheurs de Bitdefender ont annoncé avoir découvert une vulnérabilité qui permet à un pirate informatique de remplacer le logiciel d'un thermostat connecté de marque Bosch par une version malveillante, qui peut causer des dégâts.

En 2024 et plus que jamais, les thermostats connectés, ou intelligents, offrent une solution relativement simple permettant de faire des économies d'argent et d'énergie. S'ils sont bons pour la planète et pour le porte-monnaie, ces petits appareils ne sont pas à l'abri des cyberattaques. Le spécialiste Bitdefender met d'ailleurs en garde contre une vulnérabilité critique dans un thermostat Bosch, qui touche son microcontrôleur Wi-Fi. On vous explique.

Les hackers pouvaient envoyer des commandes malveillantes au thermostat Bosch

La vulnérabilité a été identifiée dans le thermostat Bosch BCC100. Elle concerne son microcontrôleur Wi-Fi, qui agit comme une passerelle vers le contrôle logique de l'appareil, qui est en quelque sorte le cerveau du thermostat. En exploitant la faille, un hacker peut envoyer des commandes à l'appareil, y compris des mises à jour malveillantes, qui vont ensuite lui offrir un accès non autorisé au réseau de l'utilisateur.

S'il est correctement formaté, le microcontrôleur ne peut pas reconnaître les messages malveillants et les prendra pour des messages authentiques envoyés par le serveur cloud. C'est ce qui aide l'attaquant à envoyer des commandes au thermostat.

Bosch, qui fut informée de la vulnérabilité par Bitdefender le 29 août 2023, a mis du temps à réagir. Après avoir confirmé la faille le 4 octobre, l'entreprise allemande a fait état d'un correctif déployé en production le 11 novembre. Bitdefender a décidé de rendre public le rapport ce jeudi 11 janvier 2024. Soit quatre mois et demi après la découverte de la vulnérabilité.

Le thermostat dispose de deux microcontrôleurs qui fonctionnent ensemble, comme le montre l'image ci-dessous. Celle de droite, en jaune, est une puce Hi-Flying, HF-LPT230, qui implémente la fonctionnalité Wi-Fi. Il agit comme une passerelle réseau pour le microcontrôleur logique. La puce STMicroelectronics, STM32F103, en rouge, est le cerveau de l'appareil et implémente la logique principale. © Bitdefender
Le thermostat dispose de deux microcontrôleurs qui fonctionnent ensemble, comme le montre l'image ci-dessous. Celle de droite, en jaune, est une puce Hi-Flying, HF-LPT230, qui implémente la fonctionnalité Wi-Fi. Il agit comme une passerelle réseau pour le microcontrôleur logique. La puce STMicroelectronics, STM32F103, en rouge, est le cerveau de l'appareil et implémente la logique principale. © Bitdefender

Bosch a déployé un correctif, mais la prudence s'impose

Si Bosch a réagi en déployant un correctif, Bitdefender souligne l'importance, pour les utilisateurs, de s'assurer qu'ils exécutent bien la dernière version logicielle pour leur thermostat. La mise en garde souligne aussi la nécessité de rester vigilant face aux failles potentielles des dispositifs de l'univers maison connectée (IoT) dans leur ensemble, qui deviennent de plus en plus la cible des cybercriminels.

Bitdefender nous rappelle, et le spécialiste cyber a bien raison de le faire, que les cybercriminels exploitent activement les vulnérabilités des dispositifs IoT, en utilisant des outils de scan automatisés pour identifier des cibles faciles. Il est crucial pour les entreprises et les utilisateurs individuels de sécuriser leurs réseaux IoT en limitant l'accès et en configurant des réseaux distincts.

Les recommandations incluent la séparation des réseaux interne, IoT et invité, avec une isolation entre eux. En cas d'utilisation de dispositifs de point de vente, il est recommandé de les connecter via un réseau 4G/5G ou un réseau Wi-Fi ou câblé dédié pour renforcer la sécurité face aux menaces potentielles.