Apple vient de corriger une faille critique sur iOS 11.2 qui permettait d’accéder aux objets connectés liés à HomeKit.

Apple a annoncé la correction d’une vulnérabilité critique dans HomeKit sur iOS 11.2, son API qui permet d’intégrer des objets connectés à iOS et de les contrôler depuis un iPhone ou un iPad. Cette vulnérabilité « difficilement reproductible », permettait à un assaillant de prendre le contrôle des objets liés à HomeKit depuis la sortie de la version mineure de l’OS. Il pouvait alors s’amuser avec vos lampes Philips Hue ou, plus problématique, ouvrir vos serrures connectées. Pas génial, quand on sait que l’un des arguments de HomeKit avancé par Apple est la sécurité extrême de l’écosystème.

Philips Hue // Source : Philips

9to5Mac, qui a exposé cette faille, a pu voir la vulnérabilité en démonstration et confirme qu’il était possible d’ouvrir des portes de garage ou des serrures. Cela dit, les journalistes du média ont fait ce qu’il était bon de faire dans pareil cas : contacter le constructeur ou le développeur avant  de publier quoi que ce soit au sujet de la faille afin qu’elle ne deviennent pas populaire.

Apple de son côté, a réagi en moins de 48 heures et a confirmé que la faille avait été corrigée côté serveur en attendant un correctif pour les utilisateurs la semaine prochaine. Elle n’est donc plus exploitable à l’heure où ces lignes sont écrites : si vous vous inquiétez pour votre intérieur, sachez qu’il n’y a rien à faire pour l’instant pour bénéficier du correctif.

Le média américain estime qu’il était de son devoir de couvrir cette faille et de travailler avec Apple pour un correctif rapide — l’information d’un côté, la sécurité des utilisateurs de l’autre. Est-ce que cela met en cause toute la sécurité de HomeKit ? Pour 9to5Mac, «  des bugs existent » dans tous les logiciels mais l’équipe espère qu’une telle découverte permettra de renforcer les tests et les audits de sécurité chez Apple pour HomeKit, afin que les clients de telles solutions ne soient pas exposés.

Les clients ne devraient pas être exposés à des failles de sécurité sur des objets connectés

C’est un fait difficilement contestable : ce n’est normalement pas à l’utilisateur de se préoccuper de tester la sécurité des produits qu’il achète. Avec l’explosion du marché des objets connectés, souvent peu sécurisés, nul doute que ce genre d’affaires sera amené à se reproduire. En bref, rien ne sert de paniquer, mais bien mettre le confort et le risque des deux côtés de la balance est toujours nécessaire quand on achète un objet connecté à Internet.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !