Qu’est-ce qui garantit vraiment la sécurité de nos immeubles connectés en 2023? Un chercheur en sécurité a récemment soulevé une question troublante: le système de contrôle d’accès utilisé dans de nombreux bâtiments en Amérique du Nord pourrait être vulnérable à cause d’un simple mot de passe par défaut. Comment pourrait-on concevoir que la sécurité de nos espaces de vie et de travail repose sur une telle faille?
La société Hirsch, actuelle propriétaire du système de contrôle d’accès Enterphone MESH, a répondu à cette question de manière quelque peu surprenante. Plutôt que de corriger la vulnérabilité, l’entreprise affirme que le défaut est intentionnel et que la responsabilité de changer le mot de passe par défaut revient aux utilisateurs. Est-ce vraiment suffisant de rejeter la responsabilité sur le client alors que la sécurité du produit est en jeu?
Cependant, cette situation laisse exposés de nombreux bâtiments résidentiels et commerciaux à travers l’Amérique du Nord, selon Eric Daigle. Cet enquêteur a remarqué que bon nombre de structures n’ont pas modifié le mot de passe par défaut ou ne savent même pas qu’elles devraient le faire. Doit-on blâmer le consommateur ou est-ce que le fabricant devrait faire davantage pour protéger ses produits?
Peut-on vraiment ignorer les implications de sécurité réveillées par les mots de passe par défaut?
Les mots de passe par défaut sont une réalité bien connue dans le monde des dispositifs connectés à Internet. Ils simplifient l’accès lors de l’installation initiale, mais représentent une vulnérabilité persistante. Peut-on continuer à les traiter comme une simple commodité lorsque des questions de sécurité sont en jeu? Dans le cas du système d’entrée de Hirsch, les utilisateurs ne sont même pas incités à changer ce mot de passe crucial. Est-ce un pur hasard si une telle faille s’est transformée en un bug critique désigné CVE-2025-26793?
L’inefficacité des mots de passe par défaut n’est pas une problématique nouvelle. De nombreux hackers mal intentionnés ont profité de cette facilité d’accès pour détourner divers appareils. Avec des gouvernements qui commencent à légiférer sur ces pratiques, le secteur technologique est-il prêt à abandonner les mots de passe par défaut ou continuera-t-on à voir ce genre de vulnérabilités perdurer?
Sans solution prévue par Hirsch, l’horizon pour corriger cette faille semble flou. Des actions rapides ne sont-elles pas essentielles pour éviter que d’autres bâtiments ne tombent victimes de failles semblables? Cette situation devrait inciter à un examen de conscience sur l’évolution des pratiques de sécurité obsolètes. Mark Allen, PDG de Hirsch, s’est abstenu de commenter, mais la position de l’entreprise laisse penser que l’avenir de la sécurité des systèmes connectés est encore à définir. Jusqu’où doivent aller les entreprises pour assurer la sécurité de leurs produits et, par extension, celle de leurs utilisateurs?
Les choix passés dans la conception produit peuvent avoir de lourdes conséquences aujourd’hui. Ne devrions-nous pas nous interroger sur la manière dont ces politiques affectent notre avenir? Cette affaire révèle qu’une véritable transformation est peut-être nécessaire dans notre approche de la sécurité technologique. Quelles seront alors les prochaines étapes pour s’assurer que l’histoire ne se répète pas?
Source : Techcrunch
