« Qui a la clé de chez vous ? Peut-être plus de monde que vous ne le pensez ! » Ah, les joies de la modernité : votre appartement se verrouille avec une application, mais celle-ci pourrait aussi accueillir des invités inattendus à cause d’une faille de sécurité dans le système d’accès intelligent Chirp.
Imaginez que le sanctuaire de votre vie privée, votre maison, puisse être ouvert à distance par n’importe qui, à tout moment. Pas très rassurant, n’est-ce pas ? La CISA, agence américaine de cybersécurité, a sonné l’alarme publiquement sur cette vulnérabilité concernant les serrures intelligentes Chirp, exploitables via leur application qui, malheureusement, a gardé des mots de passe un peu trop « à portée de main ».
Car oui, stocker des mots de passe directement dans le code source de l’application, c’est comme cacher la clé sous le paillasson en espérant que le seul invité que vous aurez sera le facteur. CISA a noté que cette faille permettrait littéralement à un attaquant de jouer les Passe-Partout, mais sans l’accompagnement sympathique de Fort Boyard.
« La porte ouverte à des invités numériques pas toujours désirés ! »
Chirp, par contre, semble jouer à l’autruche, ne répondant ni aux appels de la CISA ni aux pigeons voyageurs envoyés par le chercheur en sécurité qui a découvert le problème. C’est un vrai cas de « vu, pas lu » qui pourrait finir en « ouvert, pas fermé ».
À la manière d’un serial roman un peu trop prévisible, Matt Brown, un chercheur, partage son aventure datant de mars 2021 avec Chirp, qui, jusqu’à preuve du contraire, n’a toujours pas colmaté la brèche. Pendant ce temps, de grandes compagnies immobilières, probablement en train de compter leurs appartements comme on compte les moutons avant de dormir, se retrouvent avec des serrures potentiellement aussi sécurisées qu’un journal intime sans cadenas.
En réalité, le problème dépasse Chirp et soulève une question plus vaste sur la responsabilité en cas de vulnérabilité de sécurité dans ce secteur du « prop-tech ». Qui doit veiller sur le verrouillage de nos données et de nos portes : les géants de l’immobilier, les développeurs d’applications ou peut-être même… les locataires eux-mêmes ?
En attendant, ni RealPage, le nouveau propriétaire de Chirp, ni Thoma Bravo, le géant qui l’a englouti, ne se sont exprimés sur cette faille béante. Le silence est d’or mais, dans ce cas, il pourrait bien coûter cher en termes de sécurité et de sérénité pour les locataires.
Donc, si vous entendez « Ding Dong » et que personne n’est à la porte, ce n’est peut-être pas un fantôme, mais plutôt un hacker qui vous fait coucou depuis son canapé. Voilà qui donne une toute nouvelle dimension à l’expression « ouvrir la porte à la conversation » !
Source : Techcrunch