C’est une simple attaque par bourrage d’identifiants menée au mois de mai dernier. Mais elle rappelle les enjeux de sécurité posés par les objets connectés. Selon le fabricant de robots domestiques Ecovacs, voici la cause d’une série d’intrusions, au nombre non précisé, sur les comptes de ses clients.
Ces compromissions ont abouti à la prise de contrôle de robots aspirateurs. Des piratages qui feraient sourire si ces appareils, bien souvent en service dans des domiciles privés, n’étaient pas équipés de micros et de caméras. Comme l’a dévoilé le média australien ABC News, ces intrusions se sont même soldées par un flot d’injures racistes de l’attaquant qui utilisait les haut-parleurs intégrés dans l’appareil.
The @ECOVACS remote racist slur incident and press coverage: I received many questions and there is some confusion. The BLE RCE was not used, but they got initial access thru « credential stuffing ». The « pin bypass » vuln might have been used afterwards. https://t.co/lcpNG3Eugf
— Dennis Giese (@dgi_DE) October 12, 2024
Adresse IP bloquée
Pour Ecovacs, le piratage de ces appareils ne résultait donc pas d’une compromission de son système d’information. Mais d’une réutilisation de mots de passe et d’identifiants déjà volés. L’entreprise précise avoir identifié une adresse IP suspecte qui a été immédiatement bloquée.
On ignore si la société a également porté plainte. L’entreprise avait enfin contacté les clients concernés pour les inciter à changer le mot de passe de leur compte. Mais ce n’est pas la première fois que la sécurité informatique des produits d’Ecovacs est pointée du doigt. Des chercheurs en sécurité informatique avaient ainsi déjà mis en lumière les failles autour d’un des modèles d’aspirateur robot de l’entreprise, le Deebot X2 Omni.
Absence de réponse
Ces derniers, Dennis Giese, un spécialiste de ce genre d’appareils, et Braelynn, avaient présenté leurs trouvailles lors de plusieurs conférences à partir de décembre 2023. La faille qu’ils avaient identifiée, une façon de contourner le code PIN pour accéder au robot, permettait de contrôler cet appareil à distance via le bluetooth.
A ABC News, les chercheurs en sécurité déploraient n’avoir eu aucune réponse de l’entreprise suite à leur alerte initiale. Ecovacs assure désormais que cette vulnérabilité est en voie de résolution. Une mise à jour doit (enfin) ainsi être disponible dans la première quinzaine du mois de novembre. L’entreprise encourage également ses clients à utiliser des mots de passe robustes et uniques pour leurs comptes.