Vous trouverez dans cet article une analyse de la prise connectée Wifi SmartPlug de Revogi. La deuxième partie de l’article retranscrit une analyse des failles de sécurité que peut contenir ce type de objet connecté wifi. L’analyse a été publiée lors d’une des conférences du SSTIC 2018.
Cette prise connectée permet de transformer n’importe quel de vos équipements électriques, en équipements connectés. Cette prise est intéressante car elle s’appuie sur le Wifi pour communiquer. Elle peut être commandée à distance, via l’application que Revogi met à disposition.
Pour commander la prise, vous aurez juste besoin de votre smartphone et de l’application SmartHome disponible sur Play store ou iTunes store. Lancez l’application et suivez la procédure d’installation, les explications sont claires. Quand vous aurez saisi les paramètres de votre wifi et sa clef, l’application vous demandera de brancher la prise. Le voyant wifi de la prise se met à clignoter.
Chose étonnante, le mot de passe est transmis à la prise sans nécessiter d’autres manipulations. Le voyant devient stable et la prise est à présent accessible depuis votre réseau wifi, mais aussi à distance.
Ce module permet d’allumer/éteindre depuis un smartphone mais aussi :
- de suivre sa consommation d’énergie en temps réel et de façon cumulée
- de gérer l’allumage via une minuterie
- de planifier l’allumage à une heure précise de la semaine
Ce module a été testé, comme lors d’un précédent test en le branchant sur un équipement maison. La consommation remonte bien. La planification fonctionne correctement, même s’il faut s’y reprendre à plusieurs fois pour faire enregistrer votre configuration.
Le « gros » défaut est que le changement d’état de la prise n’est pas systématiquement remonté. Plusieurs fois, l’envoi de la commande d’allumer ou éteindre la prise n’a pas fonctionné et pourtant l’application indiquait avoir envoyé la commande. De plus, plusieurs fois l’appareil s’est mis « hors ligne » et il devient incontrôlable. En clair, à distance vous ne savez pas de façon certaine si votre prise est allumée ou éteinte, c’est gênant..
Après une analyse un peu plus approfondie, c’est à dire en analysant avec Wireshark les trames réseaux, il s’avère que la prise utilise le protocole UDP. Or ce protocole fonctionne sans accusé réception. Donc quand une commande est envoyée, on n’a pas de retour pour savoir si l’équipement a bien reçu la commande et s’il l’a bien exécuté. On constate lors de cette analyse, que les trames ne sont pas cryptées et qu’elles sont envoyées en Http.
L’avantage de tout transmettre en clair, est qu’on peut comprendre aisément comment demander à la prise de s’allumer ou de s’éteindre. En écrivant un petit script dans une box domotique, on peut créer un interrupteur virtuel et allumer ou éteindre la prise depuis l’interface de votre box.
En terme de sécurité, en revanche, le mode opératoire pour configurer cette prise est très étonnant et le peu d’effort pour sécuriser les données, n’inspire pas confiance.
La question non répondue et de comprendre comment votre mot de passe Wifi peut être passé de l’application mobile à la prise, alors qu’elle n’est pas branchée sur internet. Après quelques recherches, une vidéo d’une des conférences du SSTIC en apporte peut être la réponse. Il faudrait être un « vrai » expert en sécurité pour analyser cette prise et confirmer ce point. A date, on ne l’a pas confirmé. En revanche il est intéressant de prendre connaissance des failles de sécurité que l’on peut trouver dans une prise connectée. Même si les failles indiquées dans la vidéo ne concernent peut être pas cette prise, il vaut mieux en être avisé.
Le SSTIC est le « Symposium sur la sécurité des technologies de l’information et des communications ». Le programme de cette année intégrait quelques conférences sur la sécurité des objets connectées. On pouvait y voir une conférence sur les « smart TV« , sur les serrures connectées et sur le hacking d’une prise connectée. Une synthèse de la conférence se trouve sur le site de n0secure.
Dans la vidéo sur l’analyse de la prise connectée, on y découvre le même mode opératoire pour configurer la prise que celui décrit au début de cet article. L’expert après analyse, a découvert en sniffant le réseau et qu’on regarde ce qui s’échange à l’envoi des informations de sécurité, on voit passer des paquets wifi complètement random. Les messages sont envoyés vers des IP au pif, et les messages de broadcast sont constitués d’une série de messages de taille fixe, puis des paquets de taille variable qui viennent encoder la clef du wifi à enregistrer sur la prise. Bref un gros CESAR en side channel via la taille des paquets. Quand on regarde la doc du module wifi du module analysé par cet expert, on se rend compte qu’il écoute en UDP, et qu’il accepte des commandes AT qui permettent de faire tout ce qu’on veut avec le module wifi au niveau config.
Si cette analyse vous intéresse, vous pouvez trouver un article plus détaillé sur le site acceis de l’expert, c’est cité à la fin de la vidéo.
Vous allez dire « certes, certes mais qui écoute ??? ». Dans le cas de votre domicile, cela ne représente peut être pas une grande surface d’exposition, mais il est bon d’en avoir conscience. Cet expert a aussi découvert qu’il est possible de récupérer le mot de passe wifi via une petite manipulation. Or beaucoup de ces prises sont revendues. Ceci signifie que quelqu’un qui achète l’une d’entre elles, connaitra le mot de passe du Wifi du vendeur. En soi, il est peu probable qu’un jour vous revendiez ce type de prise et que l’acheteur ait en objectif d’attaque votre domicile. Mais là encore, il est intéressant de prendre conscience que tout équipement connecté que vous revendez peut intégrer des données sensibles.
Ces éléments sont mentionnés pour vous sensibiliser aux risques de ce type d’équipement.
Vous avez deux approches pour acheter un équipement de qualité. La première est de lire les tests de blogs ou d’experts qui vont se concentrer sur cet aspect. Mais il y en a peu, et surtout vu le nombre d’objets connectés, seuls les plus connus seront testés.
La seconde approche est de s’assurer que l’objet respecte une certification en matière de sécurité.
Que dit la législation Européenne ?
Et bien justement « Rien », c’est à peine croyable ! La nouvelle loi sur la cybersécurité de l’UE n’imposera pas de certifications pour les produits IoT. En clair, démerdez vous ! Quand on voit les nombreuses failles qui peuvent être trouvées dans ce type d’objet, il est sûr que l’actualité sur les cyber attaques en IoT risque d’être riche dans les années à venir.
En résumé, si votre but est de rendre « connecté » votre domicile, notre conseil est de vous appuyer sur des solutions « domotique » testées et éprouvées. Ce blog regorge de tests et d’analyses dans ce domaine. La « mode » des objets connectés peut vous donner l’impression qu’avec très peu d’investissement vous pourrez vous équiper. Mais il n’y a pas de secret, si l’équipement que vous achetez n’est vraiment pas cher, cela signifie que le constructeur à minimiser son investissement sur certains aspects et la sécurité peut en faire partie.