La magie de l'Internet des Objets: quand "sécurité" est un gros mot

Cet article montre le danger des objets connectés, et la nécessité de faire attention à leur sécurité:

https://mjg59.dreamwidth.org/40397.html

 

Ce type a acheté une ampoule connectée: vous savez, on y accède en wifi, et on peut l'allumer / l'éteindre / lui faire changer de couleur à partir de son téléphone.
Et il a regardé ce qu'elle avait dans le ventre.
Et là… surprise!

L'ampoule se connecte au wifi local. Ça, c'est normal.
Mais elle accepte aussi qu'on s'y connecte directement. Avec un SSID prédéfini, et un login/pass en dur.
Et elle a un telnet ouvert, en admin/admin.
À partir de là, vu qu'elle fonctionne sous Linux, on est connecté à un host comme un autre du réseau local.

Donc, n'importe qui peut s'y connecter, se logger dessus, et accéder au réseau local.
Et il n'y a pas moyen de changer cela, car, bien qu'elle fonctionne sous Linux, le fabricant ne veut pas fournir le code source.