Miele a été épinglé par une chercheur en sécurité qui a trouvé dans l’un de ses appareils une méchante faille de sécurité. Le fabricant, pour l’instant, fait la sourde oreille.
On n’arrête pas le progrès. Un chercheur en sécurité a détecté, sans doute pour la première fois, un faille critiques dans un lave-vaisselle, permettant à n’importe qui d’accéder à distance à l’appareil et d’exécuter du code arbitraire. Le lave-vaisselle devient ainsi une magnifique porte d’entrée pour les pirates qui pourront s’en servir pour éventuellement infecter d’autres appareils connectés au même réseau.
Mais tout d’abord, rassurons-nous : cette attaque ne concerne pas le consommateur de base. L’engin vulnérable est le Miele Professional PG 8528 qui, comme son nom l’indique, est destiné aux professionnels. D’une capacité de 351 litres, il est capable de laver 232 verres d’un coup. Il dispose également – et c’est plus étonnant – d’un câble Ethernet et d’un serveur web intégré. Et c’est ce dernier qui pose problème. Le chercheur en sécurité Jens Regel y a découvert une faille de type “Web Server Directory Traversal”. Celle-ci permet à un attaquant de se connecter au serveur web intégré et d’accéder à n’importe quel fichier du système Linux sous-jacent. C’est open bar. Selon The Register, il pourra y insérer son propre code et le faire exécuter. En fonction de la configuration du réseau local, ce server web pourra donc servir de tremplin pour infecter d’autres machines.
Autre possibilité: transformer le lave-vaisselle en machine-zombie, par exemple au travers du malware Mirai. Ce code malveillant a fait beaucoup parler de lui l’année dernière en infectant un grand nombre d’objets connectés, principalement des caméras de surveillance. Ces derniers ont ensuite servi à réaliser des attaques par déni de service distribuées de grande ampleur.
En attendant le patch…
Jens Regel a découvert cette faille le 16 novembre dernier. Conformément aux règles éthiques des chercheurs en sécurité, il a contacté Miele pour les prévenir et leur envoyer tous les détails techniques. Mais depuis, il n’a eu aucun retour du fabricant. Il a donc décidé de rendre cette faille publique, ce qui permettra aux clients impactés de se protéger, par exemple en désactivant le serveur web en question. La question qui se pose également, c’est la diffusion du patch. Le site web du fabricant ne mentionne aucune procédure de mise à jour. Peut-être faudra-t-il prendre rendez-vous avec un installateur Miele qui viendra spécialement installer le correctif? En tous les cas, cette affaire montre, une fois de plus, le risque que représentent les objets connectés.