Si vous avez déjà travaillé dans le support informatique, vous connaissez les utilisateurs qui appellent pour vérifier si Internet est opérationnel toutes les quelques heures environ. Souvent, un rafraîchissement rapide du navigateur suffit pour voir si une machine est réellement en ligne. Alternativement, un simple ping ou une navigation sur un site Web connu vous dira ce que vous devez savoir. Celui que j’utilise est koi.comd’ailleurs.
En ce qui concerne les ingénieurs qui codent le micrologiciel pour les appareils intelligents, vous supposeriez qu’ils ont des moyens plus simples et rigoureux de déterminer la connectivité. Dans le cas de certains fours intelligents, il s’avère qu’ils font les mêmes vérifications stupides que tout le monde.
« Allez simplement sur Google, mec »
Tel que rapporté par Le registre, L’architecte logiciel Stephan van Rooij a récemment été étonné par le comportement de ses nouveaux appareils domestiques AEG. Van Rooij avait acheté le micro-ondes combiné intégré AEG et le four AEG, qui proposent tous deux de manière hilarante le Wi-Fi dans des appareils qui n’ont traditionnellement pas besoin de connectivité. Il n’avait pas besoin de leurs fonctionnalités Wi-Fi et les a achetées sans même savoir qu’elles étaient disponibles.
En connectant les appareils à son réseau domestique, Van Rooij a découvert un comportement curieux. Les appareils interrogeaient régulièrement divers sites Web populaires pour déterminer si une connexion Internet était disponible ou non. Les appareils AEG vérifiaient régulièrement google.com toutes les cinq minutes. Autre surprise, les appareils enverraient également des requêtes répétées à baidu.cn et yandex.ru sur le même horaire. Si vous n’êtes pas familier avec ces sites Web, ce sont des moteurs de recherche populaires en Chine et en Russie respectivement. Van Rooij a pu capturer cette activité car il disposait d’une configuration Pi-Hole bloquant les publicités sur son réseau domestique.
Bien qu’un ping rapide soit un moyen parfaitement cromulant de tester votre connectivité, il est un peu paresseux pour les fabricants de s’appuyer sur une telle vérification. C’est fondamentalement un manquement à la responsabilité de s’attendre à ce que Google gère vos vérifications de connectivité pour vous. Des entreprises comme Microsoft, Google et Apple maintiennent leurs propres points de terminaison pour vérifier la connectivité Internet. Ils ne se contentent pas de cingler un site Web aléatoire qui a été jugé suffisamment populaire pour ne jamais se déconnecter. Pire encore, les appliances disposent déjà d’une API cloud pour communiquer avec les serveurs d’AEG. Van Rooij soutient que l’entreprise devrait effectuer sa propre vérification de connectivité via cette méthode, plutôt que d’envoyer des données à des sociétés de recherche à l’étranger.
Les pings impairs ne sont pas non plus le seul problème que Van Rooij dessine avec la connectivité cloud du four. Le but de la connectivité Internet est de fournir aux appareils une certaine forme de contrôle à distance, via une application. À première vue, cela semble très utile. Par exemple, il peut être utilisé pour régler le four pour qu’il commence à préchauffer pendant que vous rentrez de l’épicerie en voiture. Il pourrait également fournir des notifications téléphoniques lorsqu’une minuterie est terminée et que votre repas est cuit.
Cependant, les mesures de sécurité dominantes du four sont configurées de manière à rendre la fonction de contrôle à distance largement inutile. Van Rooij explique qu’à chaque fois que la porte du four est fermée, il est demandé à l’utilisateur s’il souhaite activer la télécommande. Un bouton doit être enfoncé pour activer la télécommande à chaque fois le four est fermé. Il n’y a aucun moyen d’activer en permanence le contrôle à distance. Ainsi, si l’on oublie d’appuyer sur le bouton, il n’y a tout simplement aucun moyen d’activer le four à distance, car l’application refusera d’allumer le four. À première vue, cela peut sembler une sage mesure de sécurité. Cependant, comme le souligne Van Rooij, même si un acteur malveillant pouvait allumer votre four à distance, il ne devrait pas y avoir de conséquences réelles au-delà d’un peu d’énergie gaspillée. S’il est dangereux de faire fonctionner le four trop longtemps, une simple fonction de temporisation serait une protection suffisante. Il souligne également qu’une entrée de code PIN via l’application serait une sécurité suffisante pour empêcher les enfants d’allumer accidentellement le four à partir du téléphone de leurs parents, si c’est une réelle préoccupation pour l’entreprise.
Dans l’ensemble, l’histoire brosse un tableau familier : des fonctionnalités « intelligentes » mal pensées qui fonctionnent mal et sont mises en œuvre avec des raccourcis étranges. Nous avons écrit plus d’histoires sur les problèmes de sécurité de l’IoT que vous ne pouvez en dire. Il y a évidemment une certaine valeur à avoir un four que vous pouvez allumer sur Internet. Que ce soit suffisant pour justifier le trafic Internet curieux et l’expérience utilisateur janky est une toute autre question.
