Une vulnérabilité critique dans les appareils domestiques intelligents Shelly expose plus de 5,2 millions de foyers européens à un risque d’accès non autorisé. Les chercheurs en sécurité de Pen Test Partners ont découvert que la dernière génération (Gen 4) d’appareils Shelly maintient un point d’accès Wi-Fi caché actif en permanence, même après la connexion à un réseau domestique. Cette porte dérobée permet à toute personne à proximité de contourner les mesures de sécurité, et potentiellement de prendre le contrôle des portes, portails et autres appareils connectés.
La porte dérobée cachée expliquée
Contrairement aux anciens modèles Shelly qui éteignent automatiquement le point d’accès temporaire après la configuration, les appareils Gen 4 le laissent fonctionner indéfiniment. Ce défaut de conception crée un point d’entrée invisible pour les pirates, leur permettant d’exploiter le réseau du propriétaire à leur insu.
Les conséquences sont graves. Un attaquant pourrait utiliser ce point d’accès ouvert pour déverrouiller des serrures intelligentes, ouvrir des portes de garage ou désactiver des systèmes de sécurité, le tout sans déclencher d’alarmes ni laisser de traces évidentes.
Risque de réseau plus large
Le problème s’étend au-delà des appareils Shelly. Un seul appareil Gen 4 compromis peut servir de passerelle vers l’ensemble d’un réseau domestique intelligent, y compris les appareils d’autres fabricants. De nombreux ménages européens mélangent les marques de maison intelligente, ce qui les rend particulièrement vulnérables. Le problème ne concerne pas seulement la défaillance d’un produit ; il s’agit de défaillances en cascade sur des systèmes interconnectés.
Réponse retardée, responsabilité de l’utilisateur
Pen Test Partners a informé Shelly de la vulnérabilité, incitant l’entreprise à publier le micrologiciel 1.8.0 en tant que correctif. Cependant, la mise à jour nécessite une installation manuelle et la plupart des utilisateurs ignorent qu’ils doivent agir. Selon Ken Munro, fondateur de Pen Test Partners, Shelly a mis du temps à communiquer sur le problème en raison de problèmes de réputation.
Shelly affirme que son application mobile guide les utilisateurs pour sécuriser correctement les appareils, mais cela repose sur le respect des procédures de configuration officielles. Les utilisateurs qui configurent manuellement leurs appareils reçoivent des avertissements concernant la sécurisation du point d’accès. Une prochaine mise à jour du micrologiciel désactivera automatiquement le point d’accès ouvert après un délai d’attente, mais d’ici là, les propriétaires doivent prendre des initiatives.
La tendance croissante des vulnérabilités de l’IoT
Ce n’est pas un incident isolé. Les appareils domestiques intelligents sont de plus en plus ciblés par les pirates, les sonnettes Amazon Ring et les caméras de sécurité Dahua parmi les victimes récentes. Le problème sous-jacent est une ruée vers le marché sans donner la priorité aux mesures de sécurité de base.
Les fabricants collectent souvent des données sur les utilisateurs pour améliorer leurs produits, mais ces fuites de données peuvent révéler des modèles de comportement exploités par les pirates. Le problème ne concerne pas uniquement les défauts matériels ; ce sont aussi de mauvaises pratiques de gestion des données.
« Nous avons constaté des problèmes similaires avec des onduleurs solaires et avons même découvert une vulnérabilité similaire dans une voiture il y a plus de 10 ans. » – Ken Munro, partenaires de test de stylo
L’essor des appareils connectés signifie davantage de surfaces d’attaque pour les acteurs malveillants. Tant que les fabricants ne donneront pas la priorité à la sécurité par défaut, les consommateurs resteront vulnérables.
L’essentiel est clair : la sécurité d’une maison intelligente est aussi solide que son maillon le plus faible. Jusqu’à ce que les entreprises corrigent ces failles fondamentales et que les consommateurs prennent des mesures proactives pour sécuriser leurs réseaux, les maisons intelligentes resteront une cible privilégiée pour les pirates.
