Jeremiah Fowler, chercheur en cybersécurité chez vpnMentor, a découvert une « base de données non protégée par mot de passe » sur Internet. Entièrement accessible sans la moindre protection, elle contenait près de 2,7 milliards d’enregistrements, dont des données sensibles. Au cours de son enquête, le chercheur s’est rendu compte que le système appartient à Mars Hydro, une firme chinoise spécialisée dans les équipements pour la culture en intérieur, notamment des lampes LED horticoles, des tentes de culture et d’autres accessoires pour favoriser la croissance des plantes. L’entreprise a des entrepôts au Royaume-Uni, aux États-Unis et en Australie.
À lire aussi : Cyberattaque massive en cours – 2,8 millions d’adresses IP bombardent les périphériques réseau à travers le monde
Une application à l’origine des données exposées
La base de données, qui pèse un total de 1,17 To, contenait une montagne d’informations sur les smartphones des clients de Mars Hydro. En effet, plusieurs des appareils conçus par la marque chinoise sont des objets connectés. Pour interagir avec eux, il faut installer une application compagnon sur son smartphone. L’app est à la fois disponible sur Android et sur iOS. C’est cette application qui a d’abord été soupçonnée d’avoir transmis une foule de données à l’entreprise chinoise. Elle est disponible en chinois, en anglais, en français et en allemand sur les boutiques officielles.
Par le biais de son partenaire LG-LED SOLUTIONS LIMITED, une société chinoise enregistrée en Californie, Mars Hydro détenait donc une grande quantité d’informations sur les téléphones de sa clientèle. Parmi les données exposées, on trouve le SSID (nom du réseau Wi-Fi), les mots de passe du réseau Wi-Fi, des adresses IP, des numéros d’identification de l’appareil, et le numéro de version de l’application installée.
Pourtant, l’application de la marque ne collecte aucune donnée utilisateur, a constaté le chercheur de vpnMentor. C’est en tout cas ce que l’entreprise chinoise affirme sur le Play Store et sur l’App Store. De facto, il n’y a pas de raison que Mars Hydro détienne des détails sur le réseau Wi-Fi auquel le smartphone de ses usagers est connecté. Le chercheur estime que ce sont peut-être les appareils connectés eux-mêmes qui s’emparent des données.
« Quelle que soit la méthode de collecte, ces informations suscitent des inquiétudes quant à la sécurité des appareils IoT et à la protection de la confidentialité du réseau », déclare Jeremiah Fowler.
À lire aussi : Vague d’arnaques sur Gmail – le FBI met en garde contre le phishing dopé à l’IA
Des données précieuses pour les cybercriminels
Comme l’explique Jeremiah Fowler dans son rapport, ces données peuvent servir dans le cadre de différentes cyberattaques. L’expert cite notamment les risques de se retrouver dans le viseur d’une attaque de l’homme du milieu (Man-in-the-Middle). Dans le cadre de cette attaque, un pirate s’interpose discrètement entre deux parties qui communiquent, comme un site web et un utilisateur. Il intercepte, modifie ou vole les données échangées sans que les victimes s’en aperçoivent. Cette attaque se produit souvent par le biais de réseaux Wi-Fi compromis.
Théoriquement, les données peuvent permettre à un pirate de prendre le contrôle du réseau Wi-Fi, compromettant tous les appareils qui y sont connectés. Il est aussi possible que les données servent à mener des opérations d’espionnage à grande échelle. En se servant des données exposées, un pirate aguerri peut en tout cas faire de gros dégâts.
« Il existe un risque concret qu’un acteur malveillant usurpe l’identité de l’utilisateur et prenne le contrôle d’appareils comme les lumières, les ventilateurs ou les systèmes de température, pouvant ainsi endommager les cultures », estime l’expert, préoccupé par sa découverte.
Prévenu par le chercheur, Mars Hydro a promptement pris les mesures nécessaires pour protéger ses utilisateurs. En quelques heures, « la base de données a été interdite d’accès public », note le chercheur. On ignore combien de temps la base de données a été exposée avant l’intervention de Jeremiah Fowler. De même, on ne sait pas si un cybercriminel a pu piocher dans les informations répertoriées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : VPNMentor
