Des chercheurs danois et suédois en sciences informatiques et systèmes autonomes ont décortiqué la sécurité du robot Pepper de Softbank Robotics utilisé notamment au Japon dans des points de vente Nestlé. Utilisation de logiciels non mis à jour et exposition à des attaques XSS, par force brute et élévation de privilèges font partie des vulnérabilités de sécurité recensées.
Le robot Pepper de SoftBank Robotics, plus rassurant dehors que dedans. (Crédit : D.R.)
Depuis quelques années, les études relatives à la sécurité des objets connectés se suivent et se ressemblent. Toutes – ou presque – pointent leurs lacunes en termes de sécurité, un phénomène qui ne remonte pas à hier. Parmi la ribambelle de périphériques reliés au réseau, certains sont plus emblématiques que d’autres, notamment ceux appartenant à la catégorie des robots parmi lesquels Pepper, propriété de SoftBank Robotics suite au rachat du français Aldebaran Robotics. Utilisés par de nombreuses marques – dont Nestlé pour ses boutiques au Japon – dans les points de ventes à des fins d’animation commerciale et de support à la vente, ces robots seraient bien plus inquiétants d’un point de vue sécurité que leur joli minois ne laisse suggérer.
Une étude publiée par les chercheurs danois Michele De Donno et Nicola Dragoni de l’Université technique du Danemark et Alberto Giaretta du centre d’études en application autonome et systèmes de capteurs, dresse un panorama pour le moins inquiétant des vulnérabilités de sécurité de Pepper. « Dans notre enquête, nous avons trouvé un nombre gênant de graves problèmes de sécurité qui montrent que le fabricant a largement négligé toute sorte d’évaluations de sécurité avant de commercialiser son produit », annoncent les chercheurs. Parmi les vulnérabilités découvertes, on en trouve notamment qui permettent à un hacker d’usurper les informations d’identification des utilisateurs, voler des données stockées dans Pepper ou encore pirater d’autres dispositifs connectés interagissant avec lui.
La sécurité et la sûreté des humains en question
Selon les chercheurs, quatre problèmes de sécurité à la sévérité « élevée » ont été trouvés, relatifs à l’utilisation d’une page d’administration sous HTTP et non HTTPS permettant le vol d’identifiants en clair, l’absence de contre-mesures aux attaques par force brute pour casser les mots de passe utilisées pour les programmes du robot. Ou encore la possibilité de changer le mot de passe racine exposant le système à une attaque par élévation de privilèges, voire la capacité à exécuter une action non-autorisée à distance. « Les fabricants doivent évaluer les aspects de sécurité de leurs produits avant les vendre sur le marché. Jusqu’à présent, les appareils IoT traditionnels étaient très simples, bien que leurs failles de sécurité n’aient pas soulevé d’inquiétudes concernant des risques conséquents. Maintenant, nous commençons à avoir à faire avec des dispositifs qui peuvent non seulement compromettre la sécurité des êtres humains, mais aussi leur sûreté », alertent les chercheurs.