Avec la popularité croissante des appareils Internet des objets (IoT), il est devenu crucial de mettre en œuvre des politiques de sécurité et de confidentialité strictes pour assurer la sécurité des utilisateurs. En effet, les appareils IoT tels que les ampoules intelligentes se connectent à votre réseau Wi-Fi et peuvent constituer une menace pour la sécurité. Et récemment, il semble que les ampoules intelligentes soient beaucoup plus sujettes aux cyberattaques et que si elles ne sont pas détectées, elles peuvent avoir de graves conséquences.

Votre ampoule intelligente peut révéler votre mot de passe Wi-Fi

Des chercheurs italiens et britanniques ont pu découvrir quatre vulnérabilités critiques dans le ampoule intelligente L530E populaire de TP-Link et dans son application propriétaire Tapo, dans le cadre de leur recherche sur les risques de sécurité potentiels posés par les appareils IoT intelligents.

L’étude révèle qu’en utilisant quatre failles critiques dans l’ampoule intelligente L530E et l’application Tapo, les pirates peuvent facilement accéder à votre réseau Wi-Fi et potentiellement voler votre mot de passe Wi-Fi. L’acteur malveillant peut modifier davantage le mot de passe et l’utiliser pour manipuler d’autres appareils IoT connectés et provoquer de graves violations de données et de sécurité.

Liste des vulnérabilités de TP-Link Tapo L530 et Tapo App

Après une étude approfondie, des chercheurs de l’Universita di Catania et de l’Université de Londres ont pu détecter quatre vulnérabilités clés au sein de l’ampoule intelligente Tapo L530 et de l’application Tapo. Ceux-ci sont:

• Vulnérabilité 1 : Le manque d’authentification appropriée sur l’ampoule Tapo L530 permet aux mauvais acteurs de usurper l’identité de l’appareil pendant l’étape d’échange de clé de session. Avec un score CVSS v3.1 de 8,8, cette lacune importante peut permettre à un acteur malveillant d’extraire le SSID Wi-Fi de l’utilisateur et de le manipuler avec une intention malveillante.
• Vulnérabilité 2 : Avec un score CVSS v3.1 de 7,6, cette prochaine faille critique peut permettre aux attaquants d’obtenir un secret partagé de somme de contrôle courte codé en dur en forçant brutalement l’application Tapo.
• Vulnérabilité 3 : Cette faille rend le schéma cryptographique de l’appareil prévisible en raison de l’absence de caractère aléatoire lors du chiffrement symétrique.
• Vulnérabilité 4 : Le dernier défaut réside dans le manque de contrôles appropriés permettant d’authentifier la fraîcheur des messages reçus ainsi que dans le fait que l’application Tapo conserve les clés de session valides pendant 24 heures. Cela permet par la suite aux attaquants d’accéder facilement à ces messages stockés qui sont censés être correctement chiffrés.

Enfin, le problème vient du manque de contrôle de la fraîcheur des messages reçus, du maintien des clés de session valides pendant 24 heures et de la possibilité pour les attaquants de rejouer les messages pendant cette période.

Quelle est la solution à cette vulnérabilité des ampoules intelligentes ?

Suite aux révélations du document de recherche, TP-Link a partagé un déclaration officielle où il a reconnu les résultats de la recherche et a ensuite révélé qu’un nouveau firmware et mise à jour de l’application pour corriger les quatre vulnérabilités a déjà été déployé. Vous pouvez mettre à jour l’application Tapo depuis le Google Play Store et l’iOS Magasin d’applications.

Pour mettre à jour l’ampoule intelligente L530, visitez le Page d’assistance TP-Link. Retrouvez ci-dessous la liste des ampoules intelligentes concernées. Donc, si vous possédez l’ampoule intelligente Tapo L530, assurez-vous de mettre à jour le micrologiciel de l’appareil et l’application Tapo en priorité.

[ad_2]