L’énorme faille de sécurité de Google Home et du Chromecast

Une faille de sécurité vient tout juste d´être mise à jour sur les enceintes connectées Google Home et sur le Chromecast par deux chercheurs. Principal intéressé, Google a annoncé la sortie d’un patch mais pas avant mi juillet. D’ici là la prudence est de mise…

Grosse faille de sécurité sur les Chromecast et les Google Home

Votre localisation dévoilée très précisément

De façon générale, les objets connectés ne sont pas vraiment l’alpha et l’oméga de la sécurité informatique. Mais, c’est en partie parce qu’il s’agit de beaucoup de petites entreprises disposant de peu de moyens et ou de délais serrés. Ce n’est pas une excuse certes pour les failles de sécurité, mais une explication que l’on peut comprendre.

Le souci est que cette fois-ci, le coupable n’est pas vraiment une start-up. Il s’agit tout simplement de Google. Deux de ses objets phares sont dans le viseur. Il s’agit de son enceinte connectée Google Home et de l’appareil multimédia sans fil Chromecast. Deux spécialistes de la sécurité informatique, Brian Krebs et Craig Young ont en effet effectué une découverte perturbante.

Il est possible de déterminer de façon extrêmement précise la localisation d’un utilisateur de l’un de ces deux appareils. « Des sites peuvent exécuter un simple script en arrière-plan qui recueille des données de localisation précises sur les personnes qui ont Google Home ou Chromecast installé n’importe où sur leur réseau local.  Les implications de cette situation sont assez vastes, y compris la possibilité de campagnes de chantage ou d’extorsion plus efficaces » expliquent-ils ainsi.

Un patch en vue

Il suffirait de demander à Google une liste des réseaux sans fil à proximité, puis de transmettre cette liste aux services de recherche de Google. Une petite technique de triangulation au-dessus de tout cela et boum. En analysant simplement la puissance du Wi-Fi, on aurait une localisation précise.

Les auteurs revendiquent ainsi une précision à moins de 10 mètres de l’appareil. Seule condition ? Que le lien avec le script reste ouvert environ 1 minute. Google a dans un premier temps expliqué que c’était normal et que les choses n’allaient pas changer, puis a annoncé qu’un patch devrait finalement arriver mi-juillet. D’ici-là…


4 commentaires

  1. S’il y a des murs (et forcément il y en aura vu qu’on cherche les bornes des voisins) cela aura un énorme impact sur la puissance du signal reçu, donc si la borne de mon voisin est située à 5 mètres est derrière un mur fin « non porteur » ça ne sera pas du tout la même chose que si elle est derrière un mur en béton de 60cm donc l’affirmation « En analysant simplement la puissance du Wi-Fi, on aurait une localisation précise. » est fausse.

  2. C’est pour ca que c’est à 10m pres. Cette technique de triangulation wiffi est utilisée dans pleins d’autres utilisations, IOT, téléphones Portables….. . Le vrai problème est qu’il existe cette base qui répertorie tous les wiffis dans le monde et qui est alimentée par nos téléphones sans qu’on nous demande notre avis ..

  3. Au vu des antennes relais des opérateurs téléphoniques ainsi que notre appétence à la connexion via le wifi non sécurisé, la faille est facilement détectable

    Le vrai problème est qu’il existe cette base qui répertorie tous les wiffis dans le monde et qui est alimentée par nos téléphones sans qu’on nous demande notre avis

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.