Message d’intérêt public : Un chercheur en sécurité et les autorités américaines ont découvert plusieurs vulnérabilités graves rendant les systèmes de sécurité intelligents Nexx pratiquement sans dents. Ceux qui utilisent leurs appareils devraient trouver une autre solution dès que possible puisque Nexx est silencieux depuis deux ans.
Le chercheur Sam Sabetan, qui coopère avec le Département américain de la sécurité intérieure (DHS) et la Cybersecurity and Infrastructure Security Agency (CISA), a récemment publié plusieurs sécurité sévère des risques impliquant les systèmes de maison intelligente Nexx. Les vulnérabilités permettent aux attaquants de prendre rapidement le contrôle complet des ouvre-portes de garage, des prises intelligentes et des systèmes d’alarme de n’importe où sur Terre.
Nexx propose des appareils qui permettent aux utilisateurs d’ouvrir les portes de garage, d’activer les systèmes de sécurité à domicile et d’activer ou de désactiver les prises de courant intelligentes via une application pour smartphone. Plus tôt cette année, Sabetan a découvert que les connexions des appareils au cloud de l’entreprise utilisent une sécurité extrêmement faible.
Lorsqu’un utilisateur enregistre l’application Nexx auprès du cloud de l’entreprise, ses serveurs envoient un mot de passe à l’application et à l’appareil, établissant la connexion. Malheureusement, le mot de passe est identique pour tous les utilisateurs. De plus, il est disponible gratuitement dans l’API de Nexx et accessible au public dans le micrologiciel de chaque appareil.
Équipé du mot de passe, un attaquant ayant accès aux serveurs de Nexx peut ouvrir à distance n’importe quelle porte de garage et éteindre les appareils connectés aux prises intelligentes. Ils peuvent également voir les adresses e-mail, les identifiants d’appareils, les prénoms et les initiales des utilisateurs, ce qui permet aux pirates de cibler des personnes spécifiques.
Bien que l’alarme domestique ne souffre pas de cette vulnérabilité spécifique, elle présente deux problèmes tout aussi graves. Tout utilisateur Nexx enregistré avec l’adresse MAC d’une alarme peut prendre en charge cette alarme, et l’adresse MAC n’est pas difficile à découvrir. Le serveur de Nexx ne vérifie pas les jetons porteurs, laissant potentiellement les mauvais acteurs envoyer des signaux aux alarmes des utilisateurs. Toutes les adresses MAC d’alarme Nexx commencent par les mêmes chiffres – 7C 9E BD F4 – ce qui rend le reste de l’adresse facile à forcer. De plus, un pirate informatique avec l’adresse MAC peut détourner une alarme enregistrée en la réenregistrant sous un compte malveillant, en supprimant l’accès à l’utilisateur d’origine et en donnant à l’attaquant un contrôle total sur le système de sécurité.
Sabetan, le DHS et CISA ont essayé de contacter Nexx à plusieurs reprises depuis janvier sans succès. Les applications mobiles de l’entreprise sont toujours fonctionnelles. Ses comptes de médias sociaux et son site Web sont toujours en ligne mais n’ont enregistré aucune activité depuis 2021. Plus inquiétant, le Twitter officiel de Nexx posté un tweet en avril 2021 semblant annoncer un studio Web3, suggérant que quelqu’un d’autre a pris le contrôle du compte.
Malgré des signes indiquant que Nexx a disparu de la surface de la Terre, la boutique en ligne de l’entreprise fonctionne toujours et l’ouvre-porte de garage reste disponible sur Amazon. Même si peu de nouveaux clients achètent les produits de Nexx, Sabetan estime que leurs vulnérabilités mettent en danger 40 000 appareils et 20 000 comptes actifs. Il suggère aux utilisateurs de cesser immédiatement d’utiliser les appareils et d’essayer de contacter Nexx pour obtenir un remboursement. La CISA recommande de déconnecter les appareils d’Internet, de les isoler des réseaux d’entreprise ou d’y accéder via VPN.
Si Nexx a disparu, cela représente un autre cas de ce qui arrive aux appareils IoT lorsque les fabricants et les développeurs de logiciels abandonnent leurs produits.
