fr.wedoany.com Rapport : Lors de la conférence Black Hat Asia, Hetian Shi, chercheur en sécurité matérielle et IoT à l’Université Tsinghua (Tsinghua University) en Chine, a souligné que les développeurs d’infrastructures IoT locatives (telles que les chargeurs publics pour véhicules électriques et les vélos électriques partagés) privilégient la commodité pour l’utilisateur au détriment de la sécurité, rendant les services vulnérables à des attaques par déni de service à grande échelle.

Hetian Shi a indiqué que les caractéristiques des services IoT locatifs posent des problèmes de sécurité uniques : n’importe qui peut accéder aux appareils et en examiner les failles. Le chercheur a effectué des tests avec autorisation et a divulgué les résultats de manière responsable. Il a découvert que certains appareils locatifs contiennent des ports de débogage ou des connecteurs UART, permettant à un attaquant formé d’examiner facilement leur fonctionnement. Ses recherches ont également révélé la présence de clés d’authentification partagées dans le firmware des appareils, ainsi qu’une incapacité des services backend à vérifier correctement les utilisateurs.

Le chercheur a examiné les applications publiées par les fournisseurs de services IoT locatifs, via lesquelles les consommateurs accèdent aux services. Il a de nouveau constaté des mesures de sécurité faibles, lui permettant de créer des clients virtuels que les services IoT locatifs ne peuvent pas distinguer des vrais clients. En utilisant ces clients virtuels, un attaquant peut recharger une voiture ou louer une trottinette sans frais. Hetian Shi a déclaré que la technique qu’il a développée peut également divulguer des informations personnelles en exposant le backend des services IoT locatifs.

Il a créé un outil nommé « IDScope » capable d’exploiter de nombreuses vulnérabilités découvertes. Lors de sa présentation, il a fait une démonstration en exécutant l’application iOS d’un fournisseur chinois de stations de recharge publiques pour véhicules électriques. Hetian Shi a demandé au public de choisir une ville chinoise, Shanghai étant un choix populaire, puis de rechercher les chargeurs disponibles sur la place du Peuple. Il a invité le public à sélectionner le chargeur à attaquer, à noter son numéro d’identification dans l’application, et à le saisir dans le script. Une ou deux secondes plus tard, l’icône du chargeur dans l’application est passée du vert (indiquant qu’il est disponible) au gris (indiquant un port désactivé). Cette démonstration a suscité des applaudissements spontanés du public.

Hetian Shi estime que sa technique peut également réaliser un déni de service à grande échelle, potentiellement capable de paralyser l’ensemble du réseau de chargeurs pour véhicules électriques d’une ville. Le chercheur a testé 11 applications publiées par des fournisseurs européens de vélos et trottinettes partagés, et a découvert des problèmes similaires, suggérant que ses conclusions s’appliquent ailleurs. Il suppose que les vulnérabilités découvertes résultent du fait que les développeurs tentent de construire des services jugés pratiques par les utilisateurs, au détriment de la sécurité.