Mille jacuzzis connectés peuvent être contrôlés à distance.

La BBC plonge les Anglais dans un bain d’eau glacée : les jacuzzis connectés de la marque Balboa Water Group sont tous facilement attaquables selon des chercheurs. Les attaquants, comme démontré dans l’émission BBC Click, peuvent changer la température de l’eau, l’intensité des bulles et la couleur des lumières du bain à distance. La faute à une faille dans l’application liée au jacuzzi en vente depuis cinq ans au Royaume-Uni.

La firme ayant mis en avant cette faille, Pen Test Partners, est coutumière de ce type de démonstrations : elle avait, toujours auprès de la BBC, montré la fragilité des montres connectées pour enfants MiSafes. Pour l’entreprise, l’anecdote des bains permet de toucher le public avec des sujets extravagants mais qui ramènent toujours aux manquements des entreprises fabriquant des objets connectés.

L’émission Click de la BBC avec Ken Munro de Pen Test Partners, BBC

Connectés au wi-fi pour être contrôlés par une application, les jacuzzis ne comportent pas de résistance particulière pour un attaquant. Avec des données GPS, les chercheurs anglais ont pu attaquer et cibler des bains.

Sur des bases de données publiques — notamment les wardriving databases (comme WIGLE) qui répertorient les appareils dotés d’un signal wi-fi sur une carte — les chercheurs ont identifié des jacuzzis connectés. Dotés de cette information, ils n’ont eu ensuite qu’à utiliser le nom de l’appareil sur le réseau et d’un mot de passe — identique pour tous les appareils de la marque — pour prendre le contrôle du bain.

Si les chercheurs concèdent auprès de la télé anglaise qu’il ne s’agit pas de la faille la plus grave ni la plus répandue de leur carrière — seuls 1000 bains seraient en circulation —, ils veulent croire que le sujet sensibilisera l’opinion. Ken Munro, fondateur de Pen Test Partners, juge « la sécurité des objets connectés grand public n’est pas au point : ces découvertes le soulignent  ».

Le fabricant s’est dit surpris auprès de la BBC de découvrir la faille alors que son application date d’il y a plus de cinq ans et qu’aucun incident n’avait été rapporté. Il travaillerait désormais à prévenir les propriétaires du risque et les encouragerait à changer le mot de passe et leur identifiant. Dans un monde idéal, c’est ce qu’ils auraient dû faire dès la connexion de leur jacuzzi au réseau — c’est du moins ce que la rédaction vous conseille vivement pour vos jacuzzis comme pour vos télés connectées.

Crédit photo de la une : Lars Plougmann

À propos de Bitdefender

Bitdefender est un éditeur européen de solutions de cybersécurité, dont les technologies protègent aujourd’hui plus de 500 millions d’utilisateurs dans le monde. Il est l'annonceur exclusif de Cyberguerre. Ses technologies de machine learning et d’intelligence artificielle permettent d’anticiper et de bloquer un plus grand nombre de menaces, afin de protéger instantanément tous ses utilisateurs. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie.

Plus d’informations sur www.bitdefender.fr

Partager sur les réseaux sociaux