Une faille de sécurité découverte dans HomeKit, Réactions à la publication du 08/12/2017

[Lionel]

Une faille de sécurité a été découverte dans HomeKit, le système de domotique d'Apple. La faille permet la prise de contrôle de tous les appareils connectés, lampes intelligentes mais aussi serrures connectées.
Apple en a été informé en octobre dernier et si l'on en sait plus aujourd'hui, c'est parce qu'elle a été réglé tout récemment via la dernière mise à jour iOS 11.2 et des modifications de ses serveurs. En faisant cela, Apple a dû désactiver l'accès distant aux utilisateurs partagés. Cette fonction sera réactivée ultérieurement une fois ces problèmes réglés.

On touche ici du doigt le problème que va poser la connexion massive d'appareils annexes au sein des logements.

Lien vers le billet original

[Eagle Kiss]

Je pense que l'intégrité d'Apple dans son engagement pour la sécurité n'est plus à prouver

C'est peut être le moment pour Apple de stopper l'escalade technologique et de se recentrer sur ces fondations
Ça serait en tout cas un excellent conseil que pourraient lui donner des acteurs avisés du secteur !
Sinon ça sent la chute !

Ce message a été modifié par Eagle Kiss - 8 Dec 2017, 07:53.

[1010]

Apple en a été informatique en octobre dernier

Apple en a été informé

[sam110389]

le meilleur la dedans c'est qu'Apple coupe le service sans prévenir ni afficher de message explicatif sur l'iPhone
et hier soir je me retrouve a essayer plusieurs fois d'ouvrir un volet pour rentrer avec Siri qui se contente de me dire qu'il n'a pas réussi à joindre le materiel.

[zebigbug]

Je pense que l'intégrité d'Apple dans son engagement pour la sécurité n'est plus à prouver

C'est peut être le moment pour Apple de stopper l'escalade technologique et de se recentrer sur ces fondations
Ça serait en tout cas un excellent conseil que pourraient lui donner des acteurs avisés du secteur !
Sinon ça sent la chute !

Je pense que macbidouille devrait être renommer en hackbidouille , bugbidouille, security.is.a.joke4apple,

[teac68]

le meilleur la dedans c'est qu'Apple coupe le service sans prévenir ni afficher de message explicatif sur l'iPhone
et hier soir je me retrouve a essayer plusieurs fois d'ouvrir un volet pour rentrer avec Siri qui se contente de me dire qu'il n'a pas réussi à joindre le materiel.

C'est beau de dépendre des serveurs d'un tiers à ce point
Le volet a un interrupteur physique quand même ?

[Hebus]

Je suis du genre confiant, mais j’avoue que ces histoires de domotique connectée me font un peu peur, je n’ai pas encore sauté le pas, bien que des ampoules ça ne doit pas être bien risqué, mais la porte d’un garage, le chauffage, la porte d’entrée...

Quand on sait que la sécurité des réseaux wifi ce n’est pas la panacée...

Je crois que je vais me passer de cette modernité là

[Lionel]

bien que des ampoules ça ne doit pas être bien risqué

Je me demande si l'on pourrait provoquer un incendie en contournant les sécurités et provoquant surtension ou surchauffe de l'électronique.

[teac68]

Je crois que je vais me passer de cette modernité là

Sage décision, ou alors faut câbler toutes les unités et monter soit même un serveur domotique qui reste chez soi.

[STRyk]

C'est quand même dingue...
Ce qui est fou c'est que le "quidam" fait confiance aux fabriquants et c'est là le problème. Aucun esprit critique, aucune réaction...
Et puis tout le monde part dans le tout "gadget numérique" les yeux fermés.
Ca sera bien quand une haut cadre se rendra compte que son enfant s'est fait bercé par une chanson chanté par un pervers qui a hacké le babyphone...

[sam110389]

le meilleur la dedans c'est qu'Apple coupe le service sans prévenir ni afficher de message explicatif sur l'iPhone
et hier soir je me retrouve a essayer plusieurs fois d'ouvrir un volet pour rentrer avec Siri qui se contente de me dire qu'il n'a pas réussi à joindre le materiel.

C'est beau de dépendre des serveurs d'un tiers à ce point
Le volet a un interrupteur physique quand même ?

Oui j'utilise homekit seulement comme une surcouche je n'ai aucune confiance en Apple pour de telles choses et cet incident démontre que j'avais raison.
(vu leurs pratiques, un jour ils sont foutus de décider que Homekit est bon à jeter ou que la norme évolue sans etre rétrocompatible)
Dans mon cas, le volet est géré en local par Jeedom et a un interrupteur directement relié au module.
Par le passé j'avais une simple prise homekit, parfois ca répondait pas sans que l'on sache pourquoi puis se mettait à répondre, bref c'est pas de la domotique si on peut pas compter dessus.
Homekit ne devrait pas prétendre etre de la domotique et devrait se contenter de n'etre qu'une interface de plus pour controler un vrai systeme domotique.

[JayTouCon]

il est beau le "progrès", on n'arrête pas le recul

1 mois pour corriger une faille. un peu comme si tu laissais trainer le trousseau avec l'adresse, la carte bleue avec le code etc. du trèèèèès grand WTF

il parait que des peuplades reculées utilisent encore un petit objet en métal pour ouvrir une serrure, objet appelé "clef". AH AH les pleutres ils n'ont pas la watch, le homekit etc.

un jour y'en a un qui va resté bloqué sans pouvoir rentrer dans sa maison et il devra payer un ransomware

[broitman]

Impossible de securiser totalement les objets connectes

Surtout les serrures : ca fait des annees que Audi, BMW ou Mercedes ont tout essaye, et malgre cela avec un peu de technique (scanner) et de chance (proximite du terminal emetteur) tout peut s'ouvrir

On revient a la clef physique pour assurer l'inviolabilite

[Cekter]

Ah ben c'est dommage comme faille ça. En même temps on reste cohérent avec la "faille" root.

Pour la domotique ça sera aussi largement sans moi pas tellement pour des raisons de sécurité mais plus parce que je trouve que c'est participer au temple de la flemme... Faut pas déconner, je suis encore suffisamment valide pour me lever et appuyer sur un bouton pour éteindre ou allumer la lumière.

Par contre la domotique dans le cas de certains handicaps alors là oui, je suis pour à 100%. Mais ne nous leurrons pas, si le discours marketing de la domotique explose c'est surtout pour le lambda tout à fait valide.

[Fafnir]

attention remarque politique
Dans les villes touristique une tentation, aidé par des apps comme AirBnB, est de louer à des touristes plutôt qu'aux indigènes. Ce qui a provoqué la réaction de la bureaucratie d'une surveillance dans ce domaine. Pour le moment c'est de la paperasserie mais évidemment un contrôle permanent est la tendance sera une liaison avec un témoin impartial du genre HomeKit.

[OKAVANGO]

en ce qui me concerne, j'ai séparé les différents systèmes pour justement ne pas dépendre d'un seul concentrateur de service entre le chauffage, la vidéo et portail d'entrée, les caméras, et les alarmes.
C'est sûr que c'est plus chiant d'avoir plusieurs systèmes, mais tout relié HomeKit, si c'était séduisant sur le papier, là on vient de voir que dans les faits, c'est chaud...
Donc j'ai différents serveurs et différentes applications pour différents services.
Et pour les alarmes, c'est encore un autre système totalement indépendant du reste, en principe bien sécurisé car c'est une boite sérieuse, mais bon... on le sait, rien en l'est vraiment...

Hacker la domotique d'une maison, c'était de toute façon un très vieux scénario et il faut s'attendre à de mauvaises surprises dans ce domaine.

Ce message a été modifié par OKAVANGO - 8 Dec 2017, 10:50.

[jt_69.V]

le meilleur la dedans c'est qu'Apple coupe le service sans prévenir ni afficher de message explicatif sur l'iPhone
et hier soir je me retrouve a essayer plusieurs fois d'ouvrir un volet pour rentrer avec Siri qui se contente de me dire qu'il n'a pas réussi à joindre le materiel.

C'est beau de dépendre des serveurs d'un tiers à ce point
Le volet a un interrupteur physique quand même ?

Oui j'utilise homekit seulement comme une surcouche je n'ai aucune confiance en Apple pour de telles choses et cet incident démontre que j'avais raison.
(vu leurs pratiques, un jour ils sont foutus de décider que Homekit est bon à jeter ou que la norme évolue sans etre rétrocompatible)

C'est ce qu'ils ont déjà fait plusieurs fois pour d'autres technologies, donc je vais attendre encore quelques années avant d'équiper ma maison.

[zebigbug]

bien que des ampoules ça ne doit pas être bien risqué

Je me demande si l'on pourrait provoquer un incendie en contournant les sécurités et provoquant surtension ou surchauffe de l'électronique.

Non.

La surtension serait coupé par le disjoncteur.
La "surintensité" peut faire chauffer des appareils , mais l'électronique de base sauterait avant.

Dans les systèmes , il n'y pas pas de batteries sauf les piles boutons ou AA et à ma connaissance cela n'a pas provoqué d'incendie.

Les risques des systèmes domotiques sont :

-- les caméras , des personnes externes peuvent vous espionnées , il existe des sites montrant des images de l’intérieur de maisons.
-- l'écoute
-- le piratage des systèmes d'ouverture et de fermetures.
-- après les problèmes de fiabilité comme après une coupure de courant ou le volet ne se ferme plus par exemple.
-- la reprogrammation mal faite exemple ouverture des volets avec le soleil alors que les fenêtres sont ouvertes et en notre absence.

[kij14]

moi qui était en train de m'équiper, (la commande des lumières et volets est faite) l'ouverture du garage qui permet d'ouvrir lamaison……… j'arrête là j'attends. Ça m'amusait plus qu'y trouver de l'utilité. Je continuerai d'utiliser ma commande…… l'alarme reste indépendante

[ekami]

La domotique finira (ou pas) par s'imposer, surtout dans les constructions neuves, toujours plus adaptées que l'ancien.
Du moment qu'on est pas obligé de s'en servir et qu'il reste un interrupteur physique, ça ira.
Je crois qu'on va essayer de nous vendre des systèmes plus ou moins intelligents et surtout programmables: mais il faudra passer du temps à programmer tout ça.
Sans compter que nous ne sommes pas des êtres avec des habitudes de vie parfaitement "programmables".
Gageons qu'il sera possible de programmer des séries d'actions via des petites phrases simples à annoncer à un assistant vocal: Je me lève, Je sors, Je vais me coucher, etc, ou bcp plus simplement de simples boutons sur l'écran de son smartphone.
Et il restera le pb essentiel du contrôle: si l'utilisateur doit passer du temps à contrôler que ça marche, il s'en lassera et cessera de l'utiliser.
Mais le plus grave sera (comme toujours) le niveau de confiance à accorder au système: la preuve avec ce bug de Homekit qui aura mis le doute à ses utilisateurs, qui ne savent plus désormais si leur système est fiable ou pas.

[Hebus]

Cela dit il y a 25 ans j’ai subit un cambriolage tout ce qu’il y a de traditionnel... en faisant ma declaration au bureau de mon assurance, l’agent m’a raconté qu’un de leur client qui avait de portes magnifiquement blindés ... avait eu le mur autour de la porte découpé à la tronçonneuse à béton...

[peyret]

Cela dit il y a 25 ans j’ai subit un cambriolage tout ce qu’il y a de traditionnel... en faisant ma declaration au bureau de mon assurance, l’agent m’a raconté qu’un de leur client qui avait de portes magnifiquement blindés ... avait eu le mur autour de la porte découpé à la tronçonneuse à béton...

Faudrait donc "un mur" connecté.....

[Cekter]

Aucun système n'est inviolable. Le truc des portes blindées ou à 10 points de fermetures ou que sais je, ce n'est pas pour empécher l'effrection (voir l'exemple d'hebus qui montre que si on est motivé on entre) mais de necessiter tellement de matos/contraintes(bruits etc) que ça va décourager le plus grand pourcentage de cambrioleurs possible.
Sauf que si on arrive à pirater une porte en deux deux à cause d'une faille qui fait le tour du darkweb en 10 minutes, là on facilite considérablement les contraintes vues plus haut.
Ok faut s'y connaitre un minimum mais on est tres loin de la logistique necessaire à la découpe d'une mur avec une scie à béton.

[Lionel]

Aucun système n'est inviolable.

C'est évident, mais il y a une différence entre devoir s'attaquer physiquement à une porte et pouvoir l'ouvrir facilement, sans bruit sur place ou même pour s'amuser de loutre bout de la planète.

[JayTouCon]

récemment des portes automatiques plus précisément des portes de garage ont pu être très facilement ouvertes en 'copiant' le signal (je simplifie). il suffit d'être présent la 1ere fois dans les parages et puis lorsqu'on le souhaite on ouvre le garage.

ce qui évidemment pose un joli problème au niveau de l'assurance. paradoxalement les "vieux' portails automatiques ne sont pas visés

[LeonardMichalon]

Un de ces quatre, de retour de vacances, grâce à la domotique et au tout connecté, quand on rentrera chez-soi, la maison sera occupée par une autre famille qui aura non seulement piraté tout le système, mais pris aussi votre identité et vos comtes en banque. J'ai hâte!

[Tmps]

Impossible de securiser totalement les objets connectes

Surtout les serrures : ca fait des annees que Audi, BMW ou Mercedes ont tout essaye, et malgre cela avec un peu de technique (scanner) et de chance (proximite du terminal emetteur) tout peut s'ouvrir

On revient a la clef physique pour assurer l'inviolabilite

La preuve en vidéo... Rapide, propre, sans violence.

https://www.youtube.com/watch?v=bR8RrmEizVg

...
C'est évident, mais il y a une différence entre devoir s'attaquer physiquement à une porte et pouvoir l'ouvrir facilement, sans bruit sur place ou même pour s'amuser de loutre bout de la planète.

Lionel,

Tu n'as pas un correcteur automatique qui maîtrise bien le français?

Ce message a été modifié par Macbox - 8 Dec 2017, 12:52.

[zebigbug]

La domotique finira (ou pas) par s'imposer, surtout dans les constructions neuves, toujours plus adaptées que l'ancien.
Du moment qu'on est pas obligé de s'en servir et qu'il reste un interrupteur physique, ça ira.
Je crois qu'on va essayer de nous vendre des systèmes plus ou moins intelligents et surtout programmables: mais il faudra passer du temps à programmer tout ça.
Sans compter que nous ne sommes pas des êtres avec des habitudes de vie parfaitement "programmables".
Gageons qu'il sera possible de programmer des séries d'actions via des petites phrases simples à annoncer à un assistant vocal: Je me lève, Je sors, Je vais me coucher, etc, ou bcp plus simplement de simples boutons sur l'écran de son smartphone.
Et il restera le pb essentiel du contrôle: si l'utilisateur doit passer du temps à contrôler que ça marche, il s'en lassera et cessera de l'utiliser.
Mais le plus grave sera (comme toujours) le niveau de confiance à accorder au système: la preuve avec ce bug de Homekit qui aura mis le doute à ses utilisateurs, qui ne savent plus désormais si leur système est fiable ou pas.

La domotique c'est quoi ?
Si c'est la modernisation de la maison , le simple fait d'avoir un robinet et d'avoir de l'eau courante , c'est de la domotique.
Si on parle de la mise en place de l'électronique dans la maison , cela date d'avant 1988.
les volants roulants , somfy existe depuis plus de 20 ans au moins.
Certaines commandes pour allumer son chauffage à distance se faisait par minitel ...
La commande vocale , c'est juste le système de commande que l'on change de tactile on passe au vocal avec les problèmes d'interprétation que cela suppose.

Pour la sécurité des portes , je rappelle que le vendeur ne vous vends pas une porte inviolable , mais un temps de résistance à l'effraction.



Ce message a été modifié par zebigbug - 8 Dec 2017, 13:21.

[iAPX]

Aucun système n'est inviolable.

C'est évident, mais il y a une différence entre devoir s'attaquer physiquement à une porte et pouvoir l'ouvrir facilement, sans bruit sur place ou même pour s'amuser de loutre bout de la planète.

C'est ça qui devrait faire peur, quand on connait les vraies causes de beaucoup de petits piratages, effectués avec metasploit par des script-kiddies.

Les vacances scolaires sont une belle période d'ouverture de la chasse, pour eux!

[Lionel]

Tellement facile avec Shodan. Je me suis fait pirater une vieille caméra IP dans une coin de chez moi (je n'avais plus confiance en elle). Je vais continuer à l'utiliser, juste le temps de bloquer ses accès en dehors du réseau.