SSI IoT – Les dessous du robot cuistot connecté Lidl

Monsieur Cuisine Connect

Micro caché, Android non sécurisé… les dessous du robot cuiseur de Lidl

Marie Turcan

11-13 minutes

[Info Numerama]

Le tout nouveau robot-cuiseur connecté de Lidl fait un carton en France depuis début juin 2019. En voulant s’amuser à détourner son écran tactile, deux Français ont découvert plusieurs éléments curieux dans le fonctionnement de l’appareil. Avec leur aide, Numerama met au jour l’existence d’un micro secret inactif, qui pourrait être vulnérable aux attaques.

La sortie du Monsieur Cuisine Connect de Lidl en France n’est pas passée inaperçue. Ce robot-cuiseur concurrent low cost du célèbre Thermomix a été mis en vente lundi 3 juin 2019, provoquant de nombreux mouvements de foules dans les magasins Lidl en France.

En cause : son prix très attractif de 359 euros, pour des fonctionnalités qui semblent proches de ce que fournit le haut de gamme (1 299 euros pour le Thermomix TM6).

Le succès de ce nouveau modèle de Monsieur Cuisine (le premier est sorti en 2016, sans écran connecté) est tel que Lidl s’est engagé à approvisionner 200 magasins en France pendant 15 semaines, rapporte le Parisien, soit des dizaines de milliers de produits qui seront écoulés dans l’hexagone dans les prochains mois.

Mais comment fonctionne vraiment cet objet connecté, conçu en Allemagne, produit en Chine par la marque SilverCrest et commercialisé par Lidl en France, Allemagne, Belgique, Suisse et Grande-Bretagne ?

Numerama a découvert, avec l’aide de deux Français, que certaines caractéristiques de l’appareil soulevaient des interrogations.

Notre enquête montre notamment qu’un micro a été installé dans le Monsieur Cuisine Connect, sans que sa présence ne soit indiquée, et sans qu’il n’y ait de justification apparente.

https://www.numerama.com/tech/525214-monsieur-cuisine-connect-micro-cache-android-non-securise-les-dessous-du-robot-cuisine-de-lidl.html

SSI RES – Le li-fi enfin prêt à sortir de l’ombre

lesechos.fr

Le li-fi enfin prêt à sortir de l’ombre

8-10 minutes

Après le fil de cuivre, les ondes radio et la fibre optique, la lumière sera-t-elle le futur véhicule de l’information numérique ? C’est la promesse du li-fi (abréviation de « light fidelity »), l’équivalent du wi-fi pour la lumière. Cette technologie, qui sera la vedette du Global Li-Fi Congress du 11 au 13 juin à Paris, tire partie des LED, ces semi-conducteurs capables de s’allumer plusieurs millions de fois par seconde sans dommage et sans que cela que soit perceptible pour l’oeil.La technologie li-fi est apparue en 2010 dans plusieurs laboratoires. Notamment à l’université de Versailles et à celle d’Edimbourg, où le chercheur Harald Haas, également cofondateur de la société PureLifi, a inventé le terme « light fidelity » et présenté la technologie pour la première fois en 2011 : « Nous avons utilisé les possibilités offertes par les LED et développé une technique de traitement du signal permettant pour la première fois de transmettre des données à très grande vitesse à partir de LED standards. »Les performances, d’abord médiocres, sont désormais « comparables à celles affichées par le wi-fi », assure Sylvain Leroux, du Technocentre Orange. En février dernier la PureLifi a ainsi présenté une puce permettant de transmettre de l’information à 1 gigabit/seconde. Dans un laboratoire d’Oxford, des chercheurs ont même atteint la vitesse de 224 gigabits par seconde.Pourtant le li-fi, dernière née des technologies de transmission sans fil, se montre encore discret. Difficile de se faire une place face au wi-fi et à la future 5G. Le défi est désormais de trouver des usages. L’an dernier, la jeune société Oledcomm s’est fait remarquer au CES de Las Vegas avec sa lampe de bureau MyLifi . Ce premier produit grand public n’a pourtant connu aucun succès. « Les cas d’usage étaient très limités », reconnaît aujourd’hui Benjamin Azoulay, PDG de l’entreprise.
Discrétion électromagnétiqueLe li-fi pourrait prendre sa revanche dans les environnements où ses cousines utilisant les ondes radio sont suspectes, dommageables ou inefficaces : hôpitaux, environnements industriels avec du métal, centrales nucléaires… Il pourrait également s’inviter dans les écoles où, depuis 2015, la loi Abeille limite le wi-fi, et dans les crèches, où il est même interdit.Car les faiblesses du li-fi constituent aussi ses atouts. Avec lui, il faut être sous la lumière pour se connecter, et cette dernière ne traverse pas les murs. Dès lors, la communication est impossible à espionner. Au Centre hospitalier Stell, de Rueil-Malmaison, la technologie a été testée dans des bureaux. « A l’avenir, nous pourrions équiper les couloirs de l’hôpital pour faire communiquer les chariots de nos infirmiers. La communication serait plus sécurisée qu’avec du wi-fi », explique Stéphane Braze, le directeur informatique de l’hôpital.L’Armée de terre songe d’ailleurs à utiliser le li-fi pour équiper des postes de commandement tactique sur le terrain. La Section technique de l’armée de terre (STAT) a mené des tests avec les produits de Lucibel : « Le li-fi présente un potentiel intéressant pour améliorer l’agilité et la furtivité de nos postes de commandement. En effet, cette technologie sans fil permet de réduire significativement les temps de déploiement tout en assurant une très forte discrétion électromagnétique. »Le li-fi devrait aussi se retrouver rapidement dans les avions. Objectif : fournir de la connectivité aux passagers grâce à des liseuses li-fi placées au-dessus des sièges. L’équipementier Latécoère, qui travaille avec Oledcomm, va présenter cette solution dans quelques jours au Salon du Bourget. Il pourrait aussi être utilisé dans le cockpit. C’est l’objectif du consortium Aircraft Light Communication qui associe le français Factem et Purelifi dans le cadre du projet de recherche européen CleanSky2.A plus long terme, le li-fi pourrait aussi faire partie de la panoplie de la voiture autonome. «Le li-fi permettrait par exemple de mesurer la distance entre véhicules ou la transmission d’images pour voir ce qui se passe devant la voiture qui précède », explique Luc Chassagne, du Laboratoire d’ingénierie des systèmes de Versailles, dont est issue la société Oledcomm.
Lumière infrarougeDans les entreprises, le li-fi est aujourd’hui déployé à titre expérimental. Au sein d’Arkea, une salle de co-working a par exemple été équipée de plafonniers li-fi vendus par Lucibel. « Mais l’utilisation reste marginale », reconnaît un responsable du projet. L’utilisateur doit en effet, pour se connecter, utiliser un petit modem branché sur le port USB, qui reçoit l’information et réémet sous forme de lumière infrarouge. Tout pourrait s’accélérer dans le cadre de rénovation ou de construction de bâtiments neufs, et avec la miniaturisation des émetteurs qui seront intégrés aux ordinateurs.« Nous bâtissons un Ehpad et nous avons réfléchi à l’installation du li-fi. Je pense que, dans cinq ans, les prix auront baissé, la technologie sera concurrentielle, et la question ne se posera plus. Le li-fi sera installé partout », analyse Stéphane Braze. D’autant que le li-fi peut avancer un argument économique. « Une ampoule Led offrant la fonction li-fi consomme certes un peu plus mais elle offre deux usages, c’est donc une économie », observe Sylvain Leroux du Technocentre Orange.C’est bien le calcul de Philips Lighting, rebaptisé « Signify », qui a racheté deux start-up et fait du li-fi un axe majeur de sa stratégie. Les jeunes entreprises comme Oledcomm ou Lucibel en France, Fraunhofer IPMS en Allemagne, VLNComm aux Etats-Unis ou Velmenni en Estonie sont aussi dans la course. Oledcomm, qui a abandonné le marché grand public, a présenté LifiMax en début d’année. A l’inverse des autres produits du marché, ce plafonnier émet lui de la lumière infrarouge, donc invisible. « Finalement, pourquoi faudrait-il obliger un utilisateur à allumer pour avoir de la connexion ? », questionne Benjamin Azoulay.
Une puce pour smartphonePour décoller, le li-fi peut espérer s’appuyer sur une norme (802.11.bb), dont la sortie est prévue en juillet 2021. Un enjeu majeur, prévient Sylvain Leroux : « Il faut que les industriels s’entendent, sinon le li-fi peut rester une technologie de niche. » Pour Benjamin Azoulay, « le décollage dans le grand public se fera à partir de 2023 ou 2024, quand le premier smartphone embarquera une puce li-fi. A l’image de ce qui s’est passé avec le wi-fi. »Et au-delà ? Les avis sont partagés. Ce sera un moyen de communication parmi d’autres, estime Sylvain Leroux : « Dans un hall de gare, vous vous connecterez à travers le wifi et la 5G, et pour avoir un accès privilégié et plus rapide vous irez dans un espace li-fi. Toute cela se fera de façon fluide. » Pour Marc Fleschen, de la société Zero1, le li-fi présente bien des des atouts : « La lumière ne produit ni interférence ni rayonnement nuisible. Ce sera dans l’avenir l’argument numéro 1 du li-fi. Le deuxième, ce sont les économies d’énergie. »Si bien que, Harald Haas en est persuadé, le li-fi sera à terme déployé de façon massive : « Un jour, chaque ampoule LED constituera un point d’accès permettant de transmettre et de recevoir des données. Le trafic ne cesse d’augmenter, le spectre des fréquences radio va devenir très insuffisant. Il me semble évident que l’on se tournera vers le spectre de la lumière, qui est 1.000 fois plus large. »
Les LED en chiffres2 milliards de LED devraient être vendues dans le monde en 2026 contre 960 millions en 2017.70 % des systèmes d’éclairages vendus en 2018 dans le monde fonctionnaient à base de LED pour un marché global de 75 milliards d’euros.90 % d’efficacité énergétique en plus pour une LED si elle est comparée à une ampoule à incandescence.
Une technologie déjà au muséeLe li-fi est déjà entré dans plusieurs musées ou sites historiques, comme celui de Pompéi. Le visiteur est géolocalisé grâce à son smartphone, sur lequel il a téléchargé une petite application pour recevoir des informations contextualisées. « Les informations envoyées en li-fi sont lues par la puce de la lampe du smartphone », explique Marc Fleschen, fondateur de la société Zero1. La géolocalisation grâce à au li-fi pourrait se développer dans tous les lieux fermés où le GPS ne fonctionne pas, comme les centres commerciaux ou le métro.Difficile à pirater, le li-fi pourrait aussi se développer pour toutes les applications sensibles, à l’image de la serrure connectée BrightLock présenté au CES en début d’année par la jeune société Havr.

https://www.lesechos.fr/idees-debats/sciences-prospective/le-li-fi-enfin-pret-a-sortir-de-lombre-1026234https://www.lesechos.fr/2018/02/li-fi-premieres-percees-en-entreprise-967149https://en.m.wikipedia.org/wiki/Li-Fi

SSI WEB – Hackers use Secure HTTPS

FBI issued a warning that threat actors use secure HTTPS websites to trick the users and to acquire sensitive login credentials, banking information and other personal details.

Internet users tend to believe that if the padlock is present “look for the lock,” then the Website is legitimate and safe.

“Unfortunately, cybercriminals are banking on the public’s trust of “https” and the lock icon.

According to PhishLabs alarming report in the third quarter of 2018, around 49% of all phishing sites use SSL/TLS certificates. That’s an increase from 25% in 2017 and 35% in the second quarter of 2018.

With SSL certificates, there are of different types.

Extended Validation (EV):

[…] The EV certificates are the one displays the company name in the browser address bar.

Organization Validated (OV):

[…] it is also difficult for cyber attackers to acquire to the certificate.

Domain validation (DV):

Easy to acquire, you only need to prove the ownership of the domain and the authorities like Let’s Encrypt providing the certificate for free.

Hackers mainly exploit DV type of certificates.

https://gbhackers.com/fbi-secure-https-websites/amp/

CNIL RGPD – art. 32 – SERGIC : sanction de 400 000€

Atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir

  • insuffisamment protégé les données des utilisateurs de son site web
  • mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière [..] elle édite le site web www.sergic.com.

Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur.

Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable.

Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

https://www.datasecuritybreach.fr/sergic-sanction-de-400-000e-pour-atteinte-a-la-securite-des-donnees-et-non-respect-des-durees-de-conservation/