[DOMOTIQUE] Google Home et Chromecast: découverte d’une faille de sécurité

     Un chercheur en cybersécurité (Tripwire) a récemment découvert une faille dans les produits Google Home et Chromecast. Craig Young a découvert que par un script exécuté depuis un site web, il est possible de localiser le logement des propriétaires. Jusqu’à présent, l’assistant Google Home et son système de streaming vidéo Chromecast n’avaient été impactés par de telles failles de sécurité. Suite à une faille non corrigée dans la protection des données personnelles, le chercheur a montré qu’il était capable de géolocaliser de manière très précise (à 10 mètres près) le logement des propriétaires des Google Home et Chromecast.

Dans ce cas précis, les informations de localisation ont été envoyées à un site Web à l’insu des utilisateurs. Le « pirate » s’est procuré la liste de réseaux Wi-Fi auprès de GoogleHome et Chromecast. Grâce à l’accès aux données basées sur les adresses IP des appareils, il a pu localiser un logement et même une personne connectée sur l’un de ces réseaux avec un smartphone. La réponse de Google a d’abord été d’affirmer que cela était simplement une fonctionnalité volontaire puis de finalement reconnaitre la faille. Les responsables de Google vont finalement injecter un correctif par mise à jour courant juillet. Les assistants domotiques s’exposent à d’importants risques et mettent en péril les données sensibles de ses utilisateurs. Ce type de failles met en exergue la notion de « privacy by design » que les industriels se doivent de respecter avant toute commercialisation (RGPD). Sécuriser les réseaux des domiciles est devenu une obligation, au risque de ne plus les considérer comme des environnements de confiance.