Des chercheurs en sécurité ont réussi à extraire le firmware du thermostat connecté Honeywell X2S et ont mis au jour plusieurs failles critiques. L’appareil, qui se pilote à distance via un smartphone et s’intègre aux systèmes domotiques, s’avère vulnérable à des attaques permettant de déchiffrer les communications et de prédire les clés de session.
L’analyse, menée via une carte d’interface équipée de broches à ressort (pogo-pins) posées sur les points de test du circuit imprimé, a permis d’accéder au firmware stocké dans deux mémoires Flash Winbond chiffrées. Les chercheurs ont ensuite décortiqué le code et identifié trois types de vulnérabilités majeures.
Déchiffrement à la volée et failles TLS
Le thermostat embarque deux puces principales : un microcontrôleur Renesas Cortex-M33 cadencé à 200 MHz avec la technologie TrustZone, et une puce Realtek qui gère le Wi-Fi et le Bluetooth Low Energy. C’est dans cette dernière que réside une fonction de déchiffrement à la volée, appelée RSIP, jugée exploitable par les chercheurs. Le protocole TLS, censé sécuriser les échanges avec les serveurs, contient une faille qui permet une attaque dite « man-in-the-middle » : un intermédiaire malveillant peut s’insérer entre le thermostat et le serveur pour lire ou modifier les données transmises. Enfin, un bug dans la génération des clés de session rend celles-ci prévisibles, compromettant la confidentialité des communications ultérieures.
Un objet connecté révélateur de présence
Le thermostat Honeywell X2S reste branché en permanence au réseau Wi-Fi domestique. Il enregistre les relevés de température, ce qui permet d’en déduire indirectement les horaires de présence des occupants. Les failles découvertes rendent ces données potentiellement accessibles à un attaquant, ce qui soulève des inquiétudes en matière de vie privée.
Les chercheurs soulignent que ces vulnérabilités sont d’autant plus surprenantes qu’elles auraient pu être évitées. Les outils cryptographiques fiables existent depuis une vingtaine d’années, les frameworks TLS sécurisés sont gratuits et bien documentés, et un défaut dans la génération de clés peut être détecté par des tests standards. L’existence de ces failles suggère donc un manque de priorité accordé à la sécurité lors de la conception du produit, plutôt qu’une contrainte technique insurmontable.
Honeywell, une entreprise de premier plan dans le domaine de l’équipement domestique et industriel, n’a pas encore communiqué officiellement sur ces découvertes. Les chercheurs ont rendu public le code de leur exploration sur la plateforme Codeberg, sous le nom « fuji-exploration », permettant à d’autres spécialistes de reproduire leurs travaux.
Implications pour les utilisateurs
Cette affaire relance le débat sur la sécurité des objets connectés grand public. Un thermostat n’est pas un gadget anodin : il est connecté en permanence au réseau local et peut servir de point d’entrée pour des attaques plus larges. Les experts recommandent aux utilisateurs de thermostats connectés, en attendant d’éventuels correctifs, de les isoler sur un réseau Wi-Fi séparé du reste de leurs appareils, afin de limiter les risques en cas de compromission.
