On parle des portes de bureaux de la firme de Mountain View situés à Sunnyvale – une municipalité du comté de Santa Clara en Californie aux États-Unis. Un féru de l’informatique a réussi à en provoquer l’ouverture sans carte RFID. Google s’en tire sans grand bruit parce que « l’intrus » est de la maison et a initié la manœuvre pour prévenir son employeur.

Que se serait-il passé si l’on avait affaire à un acteur externe ? La question vaut le détour quand on sait que David Tomaschik pouvait commander aux portes de son bureau, ainsi qu’à celles d’autres employés. Autrement dit, il pouvait les maintenir au sein de leurs espaces de travail contre leur gré. Pire, les actions de l’employé du géant de la Tech étaient possibles avec la plus grande des priorités, ce, sans que le système en garde des traces. Un porte-parole de Google a déclaré que rien n’indique qu’un acteur malicieux a profité de la situation depuis le mois de juillet où Tomaschik a fait ses révélations.

L’employé de Google s’est appuyé sur des failles au sein des contrôleurs iSTAR ULTRA de la firme Software House. Il a découvert une clé de chiffrement encodée en dur au sein desdits dispositifs (un grief qui revient dans la plupart des cas de plaintes avec les dispositifs de l’IoT). Tomaschik n’est parvenu à ce constat qu’après avoir remarqué que les messages transmis par les dispositifs sur le réseau de Google sont non aléatoires. Dans de telles conditions, un pirate n’a qu’à copier la clé de chiffrement et à imiter des commandes légitimes.

Cet épisode vient illustrer la légèreté avec laquelle les acteurs du numérique (même les plus gros) continuent de traiter les dispositifs de l’Internet des objets – dans un contexte où des épisodes comme celui

du botnet Mirai

viennent rappeler que ces derniers font désormais partie des vecteurs d’attaque préférés des cybercriminels. Ce n’est qu’après l’alerte de Tomaschik que Google a segmenté son réseau pour empêcher que des tiers ne répètent la manœuvre. Faisant suite aux révélations de l’employé de Google, Software House a intégré une meilleure forme de chiffrement à ses dispositifs.

L’entreprise propose désormais des dispositifs iSTAR qui chiffrent en TLS. La manœuvre impose de changer ceux présents sur tous les sites potentiellement affectés. Software House déclare que ce détail est réglé avec sa clientèle.

Source : Forbes

Et vous ?

Qu’en pensez-vous ?

Comment expliquer qu’un géant de la Tech comme Google se retrouve dans de tels travers avec toute la médiatisation qu’il y a autour des vulnérabilités des dispositifs connectés ?

Voir aussi :

« L’Internet des Objets » va-t-il changer le monde ? Microsoft expose un futur où terminaux embarqués, Cloud et Web se mélangent

L’Internet des Objets suscite plusieurs interrogations chez les spécialistes selon une étude

L’internet des objets pourrait rapidement devenir l’internet des menaces prévient le fondateur et PDG Kaspersky

Vint Cerf : « quelquefois je suis terrifié par l’internet des objets », le père de l’internet partage les préoccupations suscitées autour de l’IdO

Internet des Objets et respect de la vie privée peuvent-ils aller de pair ? Eve Maler livre son analyse de la question