Dans un article dont une version préliminaire a été rendue publique jeudi 3 novembre, des chercheurs de l’Institut Weizmann (Israël) et de l’université Dalhousie (Canada) décrivent les “attaques” visant des ampoules connectées Philips Hue qu’ils ont réussi à mener.

“À première vue, rien d’extraordinaire, écrit The New York Times, mais imaginez des milliers ou même des centaines de milliers d’objets connectés à proximité les uns des autres. Un programme malveillant créé par des hackers pourrait se répandre parmi ces objets en compromettant l’un d’entre eux, tel un agent pathogène.”

Un ver informatique

Il y a tout juste deux semaines, de nombreux sites Web américains ont en effet été complètement inaccessibles pendant plusieurs heures du fait d’une cyberattaque. Les hackers auraient utilisé une armée constituée de centaines de milliers d’objets connectés comme des caméras, des imprimantes et autres babyphones pour submerger la Toile.

À lire aussi : Internet. Les grands sites américains se remettent d'une attaque "longue et complexe"

Mais, d’après les experts cités par le quotidien américain, les hackers “n’ont pas utilisé la méthode décrite par les chercheurs dans leur papier”. Ils ont créé un “ver” informatique à l’aide d’un protocole peu connu dénommé ZigBee – dont le but est la communication à courte distance, dans la même veine que la technologie Bluetooth. “Le ver se répand en sautant directement d’une lampe à ses voisines, utilisant seulement la connexion sans fil ZigBee et leur proximité physique”, écrivent les chercheurs.

Réparer avant de publier

“Les chercheurs ont indiqué qu’ils avaient informé Philips de la potentielle vulnérabilité [des ampoules], précise The New York Times. La société leur a demandé d’attendre un peu avant de rendre publics leurs travaux, afin de corriger la faille.” Ce qu’ils ont fait. Et le 4 octobre dernier, Philips livrait un “patch” à ses clients, destiné à sécuriser les communications avec ses ampoules connectées.

Pour mener à bien l’attaque qui a rendu folles les lumières connectées d’un bâtiment de l’institut Weizmann et d’un immeuble de Beer-Sheva en Israël, les chercheurs affirment n’avoir utilisé que des équipements bon marché du commerce. “Ceci démontre une fois de plus la difficulté d’assurer une sécurité correcte même pour une grande entreprise qui utilise des techniques standards de cryptographie pour protéger un produit majeur”, concluent-ils.

Les vidéos ci-dessous montrent les effets des piratages des chercheurs :