Actus auto-importées korben
27/05/2026

Un thermostat Honeywell bourré de failles

Par admin

Un thermostat Honeywell bourré de failles

Des chercheurs ont passé le thermostat connecté Honeywell X2S à la moulinette du reverse-engineering. Le résultat est un peu embarrassant.

L’appareil en question, c’est un thermostat Wi-Fi qui se pilote depuis le smartphone et s’intègre aux installations domotiques, embarque deux puces principales. Un microcontrôleur Renesas Cortex-M33 cadencé à 200 MHz avec TrustZone (la techno qui isole les zones sensibles de la puce pour protéger les données critiques), et une puce Realtek qui gère le Wi-Fi et le Bluetooth Low Energy. À côté, deux mémoires Flash Winbond chiffrées.

Pour aller fouiller dedans, les chercheurs ont fabriqué une petite carte d’interface avec des pogo-pins (des broches à ressort qui viennent appuyer sur les points de test du circuit, sans rien souder). Avec ça, ils ont pu accéder au firmware et le décortiquer tranquillement.

Le bilan est donc assez gênant. La puce Realtek embarque une fonction de déchiffrement à la volée appelée RSIP, exploitable. Le protocole TLS, censé sécuriser les échanges avec les serveurs, contient une faille qui permet une attaque "man-in-the-middle" toute bête (un intermédiaire qui se glisse entre votre thermostat et le serveur pour lire ou modifier les échanges). Et un bug dans la génération des clés de session permet de les retrouver à coup sûr. Bref, l’appareil est troué de partout.

Le code de l’exploration est dispo sur Codeberg sous le nom "fuji-exploration", pour qui veut creuser.

Honeywell est une grosse boîte, pas un petit fabricant chinois sans-le-sou. Un thermostat connecté n’est pas un gadget anodin : il est branché en permanence sur votre réseau Wi-Fi domestique, et il sait à quelle température vous vivez, donc indirectement quand vous êtes chez vous. Voir une marque de ce niveau sortir un produit avec autant de vulnérabilités basiques, ça pose question.

Le pire, c’est qu’il n’y a aucune raison technique pour expliquer ces failles. La cryptographie correcte existe depuis vingt ans, les frameworks TLS sécurisés sont gratuits et bien documentés, et un bug dans la génération de clés se détecte logiquement sans trop problème. Quelqu’un a juste décidé que ce n’était pas la priorité.

Bref, encore un objet connecté à ajouter à la longue liste des trucs qu’on ne devrait pas laisser entrer chez soi sans l’isoler sur un réseau séparé.

Source :
Hackaday

Source : korben.info

Laisser un commentaire