Thermostat Honeywell X2S : 2 failles critiques découvertes
Moi, Marc, technicien en informatique depuis 15 ans et fondateur de total-depannage.com, j’ai vu des trucs bizarres dans ma carrière. Mais le thermostat honeywell x2s, là, c’est autre chose. Parce que deux failles critiques en moins d’un an, c’est quoi ce délire ?
Le thermostat qui croyait être un coffre-fort
Ce petit boîtier connecté, ce héros du confort thermique, ils l’ont bardé de puces comme si c’était la Tour Eiffel. Un microcontrôleur Renesas Cortex-M33 avec TrustZone – la techno qui doit normalement protéger les données sensibles. Sauf que… Sauf que TrustZone, c’est comme un antivirus gratuit sous Windows. Ça promet monts et merveilles, mais en vrai, ça se fait exploser en 3 clics. Et puis il y a cette puce Realtek qui gère le Wi-Fi et le Bluetooth Low Energy. Vous savez, la même qui équipe des millions d’appareils IoT.
Mine de rien, avec deux mémoires Flash Winbond chiffrées, on devrait être peinards. Sauf que chiffré ne veut pas dire invulnérable. En vrai, c’est comme mettre un cadenas rouillé sur une porte. Un coup de pied dedans, et hop, tout s’ouvre.
Faille n°1 : quand le thermostat devient espion
Les gars qui ont fait la MAJ du thermostat honeywell x2s en octobre dernier, ils devaient être en mode « on s’en fiche » ou alors ils ont confondu « update » avec « désastre ». Parce que cette fameuse mise à jour 03.01.02, elle permettait à n’importe quel hacker dans le coin de se connecter au thermostat sans même avoir besoin d’un mot de passe.
Imaginez la scène. Vous êtes en vacances, tranquillement en train de siroter un cocktail sur une plage, et soudain… Votre thermostat se met à envoyer des données à un serveur en Asie. Quelqu’un peut savoir quand vous partez, quand vous rentrez, et même si vous êtes chez vous ou non. Cool, non ? Surtout si ce quelqu’un s’appelle Alex, un mec en sweat à capuche qui adore les cambriolages. Et cerise sur le gâteau, la mise à jour initiale était vulnérable, mais pas les suivantes. Alors pourquoi Honeywell n’a rien dit ? Parce qu’ils ont paniqué ? Parce qu’ils ont cru que personne ne vérifierait ?
Moi, en atelier, j’ai dû gérer un truc du genre la semaine dernière. Un client qui se plaignait que son thermostat honeywell x2s bipait sans arrêt. En regardant de plus près, je me suis aperçu que quelqu’un essayait de s’y connecter en boucle. Heureusement, j’ai tout bloqué à temps. Mais combien de gens se font pirater sans le savoir ?
Faille n°2 : le reverse-engineering qui tourne au cauchemar
Mais attendez, ce n’est pas fini. En janvier, d’autres chercheurs ont plongé dans le code du thermostat honeywell x2s et là… C’est la cata. Ils ont découvert que la communication entre la puce Renesas et la puce Realtek se faisait en clair. Aucun chiffrement, rien, nada. Comme si on envoyait ses relevés bancaires par carte postale. Un attaquant sur le même réseau Wi-Fi peut sniffer tout ce qui passe. Vos habitudes de chauffage ? Votre localisation ? Tout y est.
Et pour corser le tout, l’interface de diagnostic du thermostat était accessible sans authentification. Vous voulez rigoler ? Connectez-vous en port série, tapez quelques commandes, et vous avez accès à tout. Moi, je dis ça, mais en vrai, c’est comme si Honeywell avait offert une porte dérobée à tous les pirates du monde. Et vous savez quoi ? Ils ont été prévenus en mars. En mars ! Et aujourd’hui, en juin, rien n’est encore vraiment fixé.
Autant dire que si vous avez un thermostat honeywell x2s chez vous, vous êtes une cible. Pas parce que vous êtes une célébrité ou un dirigeant d’entreprise, mais parce que les pirates adorent les appareils connectés mal sécurisés. C’est comme laisser la clé sous le paillasson.
Le syndrome du « on verra plus tard »
Là où ça me fait bondir, c’est la mentalité de Honeywell. Ils ont réagi en disant que la faille était « limitée à certains modèles » et que « les correctifs étaient en cours ». Traduction : « On va attendre que ça explose pour agir. » Mais où est l’éthique dans tout ça ? Quand on vend un appareil qui contrôle le chauffage de centaines de milliers de foyers, on a une responsabilité.
Moi, je l’ai déjà vu avec des clients. Ils achètent un gadget connecté, pensent que c’est sécurisé parce que c’est une marque connue, et finissent par se faire hacker. Et après, c’est moi qui dois nettoyer le bordel. Combien de temps et d’argent gaspillés pour un truc qui aurait dû être évité ?
Histoire de, je vais vous donner un conseil de pro. Si vous avez un thermostat honeywell x2s, désactivez le Wi-Fi. Utilisez-le en mode local, comme un thermostat normal. Parce que tant que Honeywell ne sortira pas de vraie mise à jour (et pas juste un patch cosmétique), vous serez une cible facile. Et croyez-moi, les pirates ne dorment pas.
Pourquoi moi, Marc, je vous donne ce conseil
Je ne fais pas ça pour faire peur. Je le dis parce que je l’ai vécu. Il y a trois mois, j’ai dû désinfecter un réseau entier parce qu’un client avait branché son thermostat honeywell x2s directement sur son Wi-Fi pro. Résultat ? Un ransomware qui a chiffré tous ses fichiers. Coût de l’opération : 1 200 euros. Sans compter les heures perdues. Et tout ça pour un thermostat. Imaginez si c’était votre système de chauffage qui était pris en otage.
Les failles, c’est comme les caries. Si vous attendez d’avoir mal pour agir, c’est déjà trop tard. Honeywell a merdé, c’est clair. Mais vous, vous pouvez encore limiter la casse. Désactivez le Wi-Fi, isolez le thermostat sur un VLAN dédié, ou changez-en purement et simplement. Parce qu’un appareil aussi mal sécurisé, ça n’a rien à faire dans une maison connectée.
Et si vous pensez que « ça n’arrive qu’aux autres », souvenez-vous de l’histoire du client qui m’a appelé en panique parce que son thermostat bipait à 3h du matin. En bidouillant un peu, j’ai vu qu’il y avait une tentative de connexion externe. Cette nuit-là, quelqu’un a essayé d’entrer chez lui. Juste pour le fun. Juste parce que c’était possible.
Et maintenant, on fait quoi ?
Spoiler : pas confiance à Honeywell
Si vous tenez absolument à garder votre thermostat honeywell x2s, alors protégez-le comme un trésor. Mettez-le derrière un pare-feu, changez tous les mots de passe par défaut, et surveillez les logs comme un aigle. Mais soyons réalistes : à ce stade, vaut-il vraiment le coup ?
Moi je dis : fuyez. Ou alors attendez que Honeywell sorte une vraie mise à jour, chiffrée de A à Z, avec une communication transparente sur les problèmes rencontrés. Parce que pour l’instant, ce qu’ils nous vend, c’est du rêve avec un arrière-goût de catastrophe.
Et pour finir, un petit conseil de vieux routier : testez toujours vos appareils connectés en environnement isolé avant de les brancher sur votre réseau principal. Parce que Windows a encore tout cassé avec sa dernière MAJ ? Normal. Mais un thermostat qui vous espionne, c’est juste inacceptable.
Sources et documentation
Parce que même un article de blog mérite des preuves
Si vous voulez vérifier par vous-même, voici les sources qui m’ont fait lever les bras au ciel :
