Présentée lors de la conférence Def Con Hacking, la faille découverte par les chercheurs en sécurité de Pen Test Partners cible les réfrigérateurs connectés de Samsung. La démonstration a été réalisée sur le modèle RF28HMELBSR, et révèle que ce dernier peut être la cible d'une attaque de type « man in the middle », en raison de l'absence de validation des certificats SSL délivrés lors d'une connexion à Internet.
Précisément, la cible potentielle de l'attaque se trouve être le compte Gmail de l'utilisateur. En effet, le système intégré dans les réfrigérateurs connectés de Samsung permet à une personne d'afficher sur son écran son agenda Gmail. « Le réfrigérateur n'est pas capable de valider un certificat SSL. Par conséquent, les pirates qui parviennent à accéder au réseau Wi-Fi sur lequel est connecté le réfrigérateur peuvent accéder à l'agenda qui s'affiche sur le frigo et voler les identifiants Google de leurs voisins, par exemple » expliquent les experts.
Comme souvent, les conditions à réunir pour être victime d'une attaque sont nombreuses, et dans les faits, Samsung n'a jamais été confronté à une démarche de ce type sur l'un de ses réfrigérateurs. La marque, qui a été mise au courant du problème, a cependant déclaré être en train de l'étudier « pour le corriger le plus rapidement possible. » Et d'ajouter : « La protection de la vie privée de nos consommateurs est notre priorité ».
Au-delà de l'importance ou non de cette faille, elle permet, dans tous les cas, de rappeler que l'Internet des objets doit se conformer aux mêmes règles de sécurité drastiques que pour n'importe quel autre environnement connecté, et que la prudence est de mise lorsqu'on permet à une machine d'accéder à des informations potentiellement sensibles. Même un réfrigérateur...
Sur le même sujet :