[DOMOTIQUE] Des chercheurs réussissent à pirater des guirlandes électriques connectées

Des chercheurs jouant avec des guirlandes électriques connectées Twinkly ont découvert des vulnérabilités qui leur permettaient d’afficher des effets lumineux personnalisés et d’éteindre à distance les lumières. Ils estiment qu’environ 20 000 appareils seraient accessibles sur Internet. Les LEDs des guirlandes électriques Twinkly peuvent être commandées individuellement. Les utilisateurs peuvent gérer leur décoration intelligente Twinkly via une application mobile qui envoie des communications non chiffrées sur le réseau local, ce qui rend triviale l’analyse du trafic. Exploitant les faiblesses inhérentes  liées à l’authentification et à la communication des commandes, les chercheurs ont pu utiliser les guirlandes électriques pour s’amuser à créer des formes lumineuses.  “Une fois que l’application connaît l’adresse IP des lumières, elle reçoit un jeton d’authentification et récupère les informations sur l’appareil. Le processus d’authentification, bien qu’il s’agisse d’une bonne idée, est imparfait “, ont déclaré les chercheurs de MWR InfoSecurity, une société récemment acquise par F-Secure. Compte tenu de ces failles de sécurité, il serait facile pour un attaquant sur le réseau d’intercepter la communication entre les guirlandes Twinkly et l’application mobile et de les utiliser pour manipuler les LEDs en motifs personnalisés ou les éteindre.