De nos jours, même les machines à café peuvent être victimes de ransomware

Publié le 03 octobre 2020 à 08h08

En début d'année, des hackers allemands trouvaient le moyen de manger gratis chez McDonald's… Aujourd'hui, une machine à café intelligente exige une rançon de son propriétaire pour fonctionner correctement. Quel monde.

L'expérience, menée par un chercheur de la firme de cybersécurité Avast, s'est déroulée sur une machine iKettle de la marque Smarter, commercialisée à 250 dollars. Après une semaine d'efforts, le hacker-chercheur pouvait faire faire ce qu'il voulait à l'appareil. Un moyen cocasse de mettre en garde les consommateurs contre les failles des objets connectés.

iKettle, faille après faille

Les premières failles de sécurité identifiées sur les produits Smarter remontent à 2015. À l'époque, des chercheurs britanniques montraient qu'il était possible de remplacer le firmware d'usine par un firmware malveillant, l'appareil étant dépourvu de signature de micrologiciel et d'environnement d'exécution sécurisé à l'intérieur du chipset.

Si Smarter s'est attachée à régler ces problèmes sur la troisième version de l'iKettle, l'entreprise n'a pas prévenu les utilisateurs des deux premières versions, pourtant encore largement utilisées. Martin Hron, de la firme Avast, s'est donc amusé à montrer, concrètement, ce que l'on pouvait
faire avec ces appareils, cherchant à mettre en garde les utilisateurs.

Après une semaine de travail, il a réussi à transformer la machine à café en machine à rançon. Quand l'utilisateur essaie de la connecter à son réseau, elle commence à faire n'importe quoi : le broyeur se met en marche à sa guise, de l'eau chaude s'écoule sans cesse, et un message demandant une rançon s'affiche continuellement sur l'écran. La seule manière d'arrêter cet enfer, c'est de débrancher la machine.

La « porte » de la machine à café intelligente

Après s'être procuré sa machine, Martin Hron a découvert qu'elle agissait comme un point d'accès Wi-Fi ; une connexion non sécurisée lui permet de communiquer avec l'application smartphone du fabricant, nécessaire pour configurer la machine et l'utiliser à sa guise.

Cependant, en publiant les mises à jour du firmware, le fabricant n'inclut « pas de chiffrement, pas d'authentification et pas de signature de code », explique Ars Technica, qui a pu s'entretenir avec Martin Hron. C'est en partant de là que le chercheur en cybersécurité a pu prendre possession de la machine.

Notons que la portée de la démonstration reste limitée. Un potentiel attaquant doit en effet pouvoir localiser une cafetière vulnérable et se trouver à porter du Wi-Fi à laquelle elle est connectée pour utiliser cette technique de piratage.

Source : Ars Technica

Par Benjamin Bruel

Piratage / Cybercriminalité

Malware / Ransomware

Maison connectée

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

trollkien

Bien bien bien…
Ca va être intéressant les années à venir avec la 5G et l’IOT, pendant cette période de décalage entre la volonté du « tout connecté » mais sans avoir réfléchi à tous les tenants et aboutissants.
On aura peut être le droit à un Android IOT

Styxou

Bien sûr que l’on a réfléchi aux conséquences, il y a beaucoup d’oeuvres de fiction sur le sujet. Mais je crois que l’avenir nous réserve des surprises et que la réalité va vite dépasser la fiction

Nehi

Je ne partage pas cet avis. La plupart des commerciaux voit le WiFi et la 5G comme une valeur ajouté à un produit et à une montée de gamme qui permet surtout de vendre plus cher, sauf que tout l’aspect sécuritaire est relégué au second plan et coûte finalement beaucoup plus cher à entretenir pendant la durée de vie du produit.

Iceslash

Lol les gars, on y passera tous au 5G quand elle sera là…en France.

GRITI

Ca peut permettre des attaques massives de DDoS toutes ces petites machines connectées?

juju251

Oui et il y a déjà eu des précédents, par exemple :

cirdan

Avec tous ces objets connectés on va finir par rejoindre ce genre de délire cinématographique :
https://www.senscritique.com/film/Christine/443048

stratos

ma question est pourquoi une machine à café connectée, si j’ai envie d’un café je vais à la machine je prends la dosette que j’ai envie et voila, c’est comme ça
.
Je vois que pour des chaines de resto pour virer des employés et remplacer par cette machine et le client qui commande lui-même

marrondevant

« L’expérience, menée par un chercheur de la firme de cybersécurité Avast, s’est déroulée sur une machine iKettle ».
Une semaine plus tard, tous ses collègues l’ont ostracisé parce qu’ils ne pouvaient plus prendre leur café.
Le chercheur s’est consolé en faisant une partie de doom sur la machine à café.
iKettle prévoit d’inclure des DLC dans ses prochains modèles.

mrassol

C’est pour ca que c’est des commerciaux … il sont la pour vendre, pas pour faire peur …