Mille jacuzzis connectés peuvent être contrôlés à distance.

La BBC plonge les Anglais dans un bain d’eau glacée : les jacuzzis connectés de la marque Balboa Water Group sont tous facilement attaquables selon des chercheurs. Les attaquants, comme démontré dans l’émission BBC Click, peuvent changer la température de l’eau, l’intensité des bulles et la couleur des lumières du bain à distance. La faute à une faille dans l’application liée au jacuzzi en vente depuis cinq ans au Royaume-Uni.

La firme ayant mis en avant cette faille, Pen Test Partners, est coutumière de ce type de démonstrations : elle avait, toujours auprès de la BBC, montré la fragilité des montres connectées pour enfants MiSafes. Pour l’entreprise, l’anecdote des bains permet de toucher le public avec des sujets extravagants mais qui ramènent toujours aux manquements des entreprises fabriquant des objets connectés.

Image d'erreur

L’émission Click de la BBC avec Ken Munro de Pen Test Partners, BBC

Connectés au wi-fi pour être contrôlés par une application, les jacuzzis ne comportent pas de résistance particulière pour un attaquant. Avec des données GPS, les chercheurs anglais ont pu attaquer et cibler des bains.

Sur des bases de données publiques — notamment les wardriving databases (comme WIGLE) qui répertorient les appareils dotés d’un signal wi-fi sur une carte — les chercheurs ont identifié des jacuzzis connectés. Dotés de cette information, ils n’ont eu ensuite qu’à utiliser le nom de l’appareil sur le réseau et d’un mot de passe — identique pour tous les appareils de la marque — pour prendre le contrôle du bain.

Si les chercheurs concèdent auprès de la télé anglaise qu’il ne s’agit pas de la faille la plus grave ni la plus répandue de leur carrière — seuls 1000 bains seraient en circulation —, ils veulent croire que le sujet sensibilisera l’opinion. Ken Munro, fondateur de Pen Test Partners, juge « la sécurité des objets connectés grand public n’est pas au point : ces découvertes le soulignent ».

Le fabricant s’est dit surpris auprès de la BBC de découvrir la faille alors que son application date d’il y a plus de cinq ans et qu’aucun incident n’avait été rapporté. Il travaillerait désormais à prévenir les propriétaires du risque et les encouragerait à changer le mot de passe et leur identifiant. Dans un monde idéal, c’est ce qu’ils auraient dû faire dès la connexion de leur jacuzzi au réseau — c’est du moins ce que la rédaction vous conseille vivement pour vos jacuzzis comme pour vos télés connectées.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !