Deux chercheurs en sécurité informatique, Andrew Tierney et Ken Munro, on présenté le 6 août à la conférence Def Con le premier ransomware ciblant les thermostats connectés. Les chercheurs travaillent pour l'entreprise britannique de cybersécurité Pen Test Partners et ont développé cette preuve de concept à des fins éducatives. Leur objectif est simple : démontrer en pratique ce que l'on sait déjà en théorie, que l'engouement pour l'Internet des objets (IoT) a créé et continue de créer des risques importants en matière de sécurité.

Monter la température en plein été

Pour ce faire, ils ont exploité un bug dans un thermostat "intelligent" tournant sous Linux qui permet d'en prendre le contrôle à distance via Internet, et plus spécifiquement d'en paralyser l'accès. L'utilisateur doit pour cela installer un logiciel malveillant, déguisé pour l'occasion en application tierce. L'hypothétique criminel peut alors effectuer une demande de rançon, faute de quoi le thermostat pourrait régler la température au minimum en hiver, au maximum en été ou tout simplement en interdire l'accès.

Le risque généralisé de l'IOT

Les chercheurs ont découvert la faille dans l'appareil seulement quelques jours avant le début de la conférence, et n'ont pas réussi à contacter le fabricant avant leur présentation. Ils ont en conséquence refuser de révéler quelle marque est touchée dans l'immédiat pour éviter que d'autres hackers moins bien intentionnés en tirent profit. Si la vulnérabilité sur laquelle s'appuie cette preuve de concept devrait être rapidement réparée, la démonstration remplit bien son rôle : fournir un enième rappel que dans son état actuel, l'IoT représente un risque très informatique sérieux, qu'il s'agisse de la smart home, comme ici, ou d'autres de ses incarnations comme la voiture connectée ou l'IoT industriel.