BlackHat2017, Las Vegas. Ah ! ce petit frisson que donne l’IoT lorsqu’il est passé à la loupe des spécialistes de la sécurité. Dans son « Global Threat Report 2017 », Darktrace est parvenu à atteindre un joli score en matière de couverture média. Dame, à Las Vegas, laisser miroiter la possibilité de pénétrer dans le réseau informatique d’un casino, en exploitant une vulnérabilité affectant les aquariums high-techs et communicants ! Malgré la protection d’un VPN, l’aquarium fautif et néanmoins connecté aurait permis à un pirate de balayer une partie du réseau local et y découvrir quelques vulnérabilités. Vulnérabilités exploitées par la suite pour exfiltrer une dizaine de Go de données des serveurs de l’entreprise vers un poste situé en Finlande.
L’affaire était si belle que l’information a été reprise par les plus grands médias anglo-saxons : CNN, le Washington Post, le Dailymail, SCmagazine, BoingBoing et même le canal de propagande Russe RT y est allé de son écho.
Mais il y a plus fort que les spywares en eau trouble : l’aspirateur de l’ombre. iRobot, vendeur d’électroménager envisage, rapporte le New York Times, de vendre les données cartographiques des aspirateurs autonomes de sa clientèle. Une mine d’information pour les professionnels de la décoration d’intérieur, un cheval de Troie pour les amateurs d’IoT. La faille, dans ce cas précis, est moins informatique que contractuelle et légale.
