Les industriels misent depuis plusieurs années déjà sur les objets connectés et tentent de nous proposer une foule de produits disposant de fonctionnalités avancées misant sur la connexion à un smartphone, au réseau domestique ou à Internet.
Dernier exemple en date de ces objets qui trouvent leur public : les ampoules connectées qui permettent à l'utilisateur de contrôler l'éclairage à distance pour simuler une présence, automatiser des horaires de lumière...
Malheureusement, le tout connecté trouve également ses limites et se présente parfois comme une porte d'entrée aux criminels. Dans le cas de l'éclairage intelligent, c'est le système d'ampoules Philips Hue qui vient de faire l'objet d'un piratage.
Deux chercheurs, Eyal Ronen et Colin O'Flynn ont ainsi montré comment ils avaient réussi à prendre le contrôle des ampoules de Philips. En exploitant une faille dans le module Touchlink tu protocole Zigbee Light Link, il leur a été possible d'injecter du code malveillant leur ouvrant les accès au contrôle du réseau d'ampoules. L'attaque est relativement complexe et permet de créer des réseaux Zigbee qui infectent les autres dispositifs dans une zone proche. Les chercheurs attirent l'attention sur les risques d'une telle attaque dans un environnement urbain très connecté : la contamination pourrait toucher un quartier entier, voire même une ville en quelques heures.
L'attaque en elle-même permet de contrôler l'éclairage : allumer ou éteindre les ampoules, les supprimer du réseau, et pourquoi pas les utiliser pour intégrer un Botnet et mener des attaques de type DDoS comme cela a déjà été fait avec des webcams.
Philips a annoncé avoir corrigé la faille mise en avant par les deux experts, mais aucun constructeur n'est à l'abri de voir une faille de ce type exploitée à grande échelle.
