Pirater des toilettes, c’est possible !

Vous pouvez désormais ajouter les toilettes à la liste toujours grandissante des appareils qui peuvent être piratés.   D’ailleurs, l’un des chercheurs à la conférence sur la sécurité Black Hat

Vous pouvez désormais ajouter les toilettes à la liste toujours grandissante des appareils qui peuvent être piratés.

toilet_title

 

D’ailleurs, l’un des chercheurs à la conférence sur la sécurité Black Hat a parlé de ce sujet. Alors que j’aurais adoré avoir pu écrire sur le sujet à l’époque, j’ai finalement décidé de parler de choses plus importantes mais je l’ai toujours gardé en tête et je me suis promis d’en parler plus tard.

Des chercheurs de Trustwave, une entreprise d’applications de sécurité, a publié un avertissement de sécurité en Août dernier, prévenant les utilisateurs que l’application Android des toilettes intelligentes, SATIS, contenait un code PIN Bluetooth de vérification. Le code est « 0000 » et l’utiliser pourrait permettre à un utilisateur doté du Bluetooth de manipuler les fonctionnalités des toilettes. Une fois ce code rentré, un appareil Android peut communiquer via Bluetooth avec n’importe quelles toilettes intelligentes SATIS situées dans son périmètre.

En bref, les propriétaires de ces toilettes intelligentes s’exposent à de sérieuses farces et à de malheureux incidents.

Ce n’est pas non plus comme pirater une pompe à insuline ou une voiture, mais un mauvais fonctionnement des toilettes activé à distance me paraît assez horrible.

Plus précisément, un pirate, s’il le souhaite, pourrait installer l’application « My Satis », rentrer le code PIN du Bluetooth, jumeler leur appareil avec toutes les toilettes SATIS situées dans leur périmètre (et soyons honnête : si vous disposez de toilettes intelligentes, vous en avez plus d’une), et lancer un grand nombre d’attaques des plus gênantes au plus dévastatrices. Le pirate pourrait, selon Trustwave, « tirer la chasse d’eau à de multiples reprises, augmenter la consommation d’eau des utilisateurs et donc leur facture d’eau ».

Et, encore plus inquiétant (du moins pour moi), un pirate pourrait ouvrir et fermer la lunette des toilettes et même activer le bidet ou les fonctionnalités de séchage – toujours selon Trustwave – « ce qui pourrait déranger sérieusement les utilisateurs ».

Ce n’est pas non plus comme pirater une pompe à insuline ou une voiture, mais un mauvais fonctionnement des toilettes activé à distance me paraît assez horrible.

Je ne suis pas certain de ce qu’il est possible de faire pour se protéger dans ce cas. La compagnie qui développe ces toilettes intelligentes, LIXIL, n’a pas encore réparé ce problème. Je suppose qu’il serait possible de leur envoyer une tonne d’e-mails leur demandant de le faire, c’est une option. Ces toilettes ont également une option appelée « mode de jumelage ». Les employés de Trustwave ont affirmé que le code PIN et l’application Android ne fonctionneront que si ce « code de jumelage  » est activé. Ils disent que vous pourriez toujours jumeler les toilettes avec un appareil Android même  si le mode de jumelage est désactivé mais cela serait seulement possible « en examinant le trafic Bluetooth pour connaître l’adresse des toilettes et se jumeler avec celles-ci », et cela paraît difficile. Donc d’un côté, c’est probablement une bonne idée d’éteindre le mode de jumelage mais d’un autre pourquoi avoir des toilettes intelligentes si vous ne pouvez pas leur envoyer de commandes depuis votre mobile ? Il s’agit d’une situation délicate…

Je ne peux pas parler pour les autres, il existe après tout de nombreuses personnes bizarres, mais je pense que la plupart des utilisateurs de ces toilettes seront à l’abris de ces attaques – s’il n’y a pas de mauvais blagueur dans la maison. Activer le bidet alors que quelqu’un utilise les toilettes ne peut pas générer d’argent. La triste réalité est que les utilisateurs de SATIS vont juste devoir vivre avec le fait que plusieurs appareils Android peuvent communiquer avec leurs toilettes, permettant à presque n’importe qui situé aux alentours d’activer accidentellement (ou pas) l’une des fonctionnalités des toilettes à travers l’application « My Satis » depuis son appareil Android.

 

Conseils