Bien que le protocole MQTT en lui-même soit sécurisé, de graves problèmes de protection peuvent survenir s’il n’est pas correctement implémenté et configuré. Les cybercriminels pourraient en effet avoir un accès complet à un domicile et savoir quand les propriétaires, ou occupants, sont présents, manipuler les appareils au service du divertissement et ménagers, ainsi que les assistants vocaux ; et voir si des portes et des fenêtres intelligentes sont ouvertes ou fermées. Parfois, les hackers peuvent même suivre à la trace un utilisateur, ce qui peut constituer une menace grave pour la vie privée et la sécurité.

« Il est extrêmement facile d’accéder et de contrôler une maison intelligente, car de nombreux protocoles sont encore mal sécurisés, issus de technologies anciennes, mises au point lorsque la sécurité n’était pas une préoccupation majeure, a déclaré Martin Hron, chercheur en sécurité chez Avast. Les consommateurs doivent être conscients des problèmes de sécurité liés à la connexion de périphériques contrôlant des espaces privés de leur domicile, à des services qu’ils ne maitrisent pas pleinement, et de l’importance de configurer correctement leurs appareils. »

Selon Martin Hron, les hackers peuvent exploiter les serveurs MQTT mal configurés selon les cinq manières suivantes :

1. Les serveurs MQTT ouverts et non protégés peuvent être trouvés en utilisant le moteur de recherche Shodan IoT. Une fois connectés, les cybercriminels sont en mesure de lire les messages qui ont été transmis avec le protocole MQTT, et de savoir, grâce aux capteurs intelligents, si les fenêtres et les portes sont ouvertes, et les lumières allumées ou éteintes, par exemple. Dans ce cas particulier, Avast a constaté que des tiers pouvaient contrôler les appareils connectés, ou au moins compromettre les données en exploitant le protocole MQTT à la place des objets intelligents. Ainsi, un attaquant serait capable d’envoyer des messages au hub pour ouvrir la porte d’un garage.

2. Même si un serveur MQTT est protégé, Avast a observé qu’une maison intelligente pouvait être piratée. En effet, le tableau de bord, utilisé pour contrôler son panneau de configuration, s’exécute parfois sur la même adresse IP que le serveur MQTT. De nombreux particuliers utilisent des configurations par défaut, fournies avec le logiciel du hub, et qui ne sont bien souvent pas protégées par un mot de passe. Ce qui signifie qu’un hacker peut accéder à tout le tableau de bord, et ainsi prendre le contrôle de n’importe quel appareil intelligent présent dans la maison.

3. Même si le serveur MQTT et le tableau de bord sont protégés, Avast a découvert qu’avec Home Assistant, un logiciel pour hub, les échanges sont publics et accessibles aux cybercriminels s’ils sont effectués via le protocole ouvert et non protégé Server Message Block (SMB), utilisé pour partager des ressources sur des réseaux internes, principalement sous Windows. L’éditeur de sécurité a également constaté que des répertoires sont partagés avec tous les fichiers de Home Assistant, y compris avec ceux liés à la configuration. Dans les fichiers exposés, Avast en a identifié un contenant des mots de passe et des clés, stockés en texte brut. Or, ces informations peuvent permettre à un pirate de contrôler complètement le domicile d’une personne.

4. Les particuliers peuvent utiliser des outils et des applications pour créer un tableau de bord pour leur maison intelligente, basés sur MQTT, afin de contrôler leurs appareils connectés, notamment avec l’application MQTT Dash. Les utilisateurs ont la possibilité de publier les paramètres, configurés à l’aide du tableau de bord, sur le serveur MQTT. Ainsi, il est très simple de reproduire ces paramètres sur tous les périphériques souhaités. Seulement, si le serveur utilisé n’est pas sécurisé, un cybercriminel peut facilement accéder au tableau de bord et pirater la maison.

5. Avast a par ailleurs pu observer que les serveurs MQTT peuvent, dans certains cas, permettre aux hackers de suivre la localisation des utilisateurs, car ils se concentrent généralement sur les données en temps réel. Nombreux sont ceux connectés à une application mobile appelée OwnTracks. Cette dernière donne aux particuliers la possibilité de partager leur position avec d’autres personnes. Elle peut également être utilisée pour permettre aux appareils connectés de s’activer automatiquement, comme les lampes par exemple, dès lors que les propriétaires ou occupants de la maison intelligente s’en rapprochent. Pour ce faire, ils doivent configurer l’application en se connectant à un serveur MQTT, et donc exposer ce dernier à Internet. Au cours de ce processus, les utilisateurs ne sont pas obligés de configurer les informations de connexion, ce qui signifie que n’importe qui peut se connecter au serveur, y compris les cybercriminels. Ils sont alors en mesure d’accéder à un certain nombre d’informations, telles que le niveau de batterie d’un périphérique, l’emplacement en utilisant la latitude, la longitude et les points d’altitude, ainsi que les dates et les heures des déplacements.