La société LFIX qui produit des ampoules connectées a reconnu le 30 janvier 2019 avoir corrigé des failles de sécurité embarrassantes. La découverte de ces failles a été faite par un étonnant pirate.

Le plus saisissant dans cette affaire n’est pas que l’ampoule LFIX puisse divulguer des codes wifi, c’est la façon dont le « pirate » qui a découvert la faille raconte les coulisses de sa divulgation. Des mots secs, froids, sur le fond blanc des pages de son blog : presque du polar.

Fiat lux

Le problème avec un produit tel qu’une ampoule, c’est qu’il est un peu symbolique. C’est quand même l’objet dont jaillit la lumière. Quand on prétend lui adjoindre rien moins que de ‘l’intelligence », on génère forcément des attentes immenses.

Or, il se trouve que même chez les ampoules, on progresse pas à pas. Et il faut parfois faire face à des soucis. Le dernier en date est de l’ordre de la faille de sécurité. Il est survenu chez LFIX qui fabrique des ampoules intelligentes.

L’intelligence chez l’ampoule

En quoi consiste l’intelligence chez l’ampoule ? On peut contrôler via un smartphone la température de couleur et la luminosité. Une seule ampoule, un smartphone et vous changez l’ambiance chez vous. Blanc bien froid pour tout nettoyer le matin et travailler dur. Blanc orange le soir pour recevoir des amis, boire des coups, etc.

Seulement voilà, un pirate informatique qui se présente sous le nom de « LImitedResults » a réussi à bricoler l’ampoule et à trouver très facilement le moyen de récupérer des données utilisateurs.

Une scie et une carte

En sciant l’ampoule, puis en isolant son composant principal, une puce, et en connectant enfin une carte au matériel, il a constaté que les données d’identification étaient stockées en clair dans la mémoire flash. Second problème détecté par le chercheur : pas de fonction démarrage sécurisé ou de chiffrage. Un vrai gros souci quand il s’agit d’internet des objets (IoT).

Qui est ce chercheur ? Sur son blog, il présente sa marque en toute modestie : « Limited Results » (résultats limités) en précisant : « contribution limitée à ce monde ». Quant à sa page « about me » c’est un modèle d’économie de mots.

« Not a big talker/writer » (pas très bavard) précise-t-il. En ajoutant « Offensive side » (je suis plutôt en mode offensif).

Dans son post du 23 janvier, il raconte donc ses échanges avec les responsables de LFIX. Il le fait dans son inimitable style.

Histoire de négociations

Après avoir montré les photos de la scie et de l’ampoule et tout le détail technique de son expérience, il en arrive à la conclusion : « les données de connexion wifi de l’utilisateur ont été découvertes, pas de protection du dispositif, certificat et clé privée RSA ont pu être extraits. »

S’ensuit l’histoire de ses négociations avec l’entreprise :

24/05/2018 : E-mail à LFIX. Je demande à discuter avec l’équipe d’ingénieurs.
3/10/2018 : Aucune réponse pendant quatre mois. J’envoie le rapport par email.
4/10/2018. Remerciements de LFIX.
17/10/2018 : L’équipe de LFIX confirme la vulnérabilité, demande un RV téléphonique et 150 jours d’embargo avant l’officialisation.
23/10/2018 : RV téléphonique avec l’équipe. On se met d’accord sur 90 jours.
30/10/2019 : Le communiqué de presse ici.

Celui-ci précise avoir réglé ces vulnérabilités et remercie Limited Results. L’entreprise a raison. On ne remercie jamais assez les taiseux.