Plus de 91 000 TV de la marque LG connectés à internet ont été exposées à plusieurs failles de sécurité. Des pirates avaient alors la possibilité de prendre le contrôle à distance des téléviseurs tournant sous WebOS pour ensuite accéder à des données sensibles.
Propriétaires de téléviseurs LG, attention ! Bitdefender rapporte que de nombreuses TV ont été exposées à plusieurs failles de sécurité. Celles-ci permettaient potentiellement à des pirates de prendre le contrôle du téléviseur et d’en obtenir l’accès racine. À partir de là, les cybercriminels pouvaient y injecter de dangereux malwares, espionner le trafic du téléviseur, et même s’introduire dans d’autres appareils d’un réseau domestique.
Les meilleures smart TV de LG étaient à la merci des pirates
La société de cybersécurité Bitdefender procède régulièrement à des analyses de sécurité sur les appareils les plus populaires liés à l’internet des objets. Le dernier rapport de l’entreprise s’intéresse particulièrement aux systèmes d’exploitation de LG pour TV. Le résultat n’est pas flatteur pour le fabricant de téléviseurs : WebOS était truffé de vulnérabilités.
Les experts de Bitdefender ont identifié plus de 91 000 téléviseurs exposés en utilisant Shodan, un moteur de recherche pour appareils connectés à internet. Si la majorité des téléviseurs LG vulnérables se trouvaient en Corée du Sud, Bitdefender en a trouvé des milliers ailleurs dans le monde, notamment en France.
Le comble, c’est que ce sont les meilleurs modèles de TV LG qui étaient concernés par ces failles de sécurité. Pour cause, ce sont des smart TV, c’est-à-dire des appareils exposés tout autant que nos smartphones ou PC aux malwares qui se multiplient actuellement. Les versions de WebOS vulnérables étaient les suivantes :
- v4.9.7 à v5.30.40, sur LG43UM7000PLA
- v4.50.51 à v5.5.0, sur OLED55CXPUA
- v03.36.50 à v6.3.3-442, sur OLED48C1PUB
- v3.33.85 à v7.3.1-43, sur OLED55A23LA
Quatre vulnérabilités découvertes dans les téléviseurs intelligents LG
La vulnérabilité CVE-2023-6317 permettait d’ajouter un nouvel utilisateur à un téléviseur LG. Celui-ci peut bénéficier de privilèges d’administrateur en exploitant alors une autre faille, répertoriée sous le nom de CVE-2023-6318. Une autre encore (CVE-2023-6319) permettait d’injecter des commandes dans webOS en manipulant une bibliothèque utilisée pour afficher des paroles de chansons. Une dernière (CVE-2023-6320) permettait aux pirates d’injecter des commandes en manipulant une API.
À lire > Canal+ : les contenus pornographiques interdits sur les TV LG
Heureusement, si cet article est écrit à l’imparfait, c’est que ces failles ont depuis été corrigées par LG dans une mise à jour déployée le 22 mars. Bitdefender a fourni le rapport au fabricant avant de le publier sur son blog, pour éviter de donner des mauvaises idées aux cybercriminels.
La prise de contrôle à distance par les pirates n’était de toutes façons possible que sur les téléviseurs LG connectés via un câble Ethernet. Si votre TV accède à internet via le Wi-Fi, vous n’avez jamais été exposé.
- Bitdefender a publié un rapport accablant sur la sécurité des meilleures smart TV LG.
- L’entreprise de cybersécurité montre que les téléviseurs de la marque étaient exposés à quatre vulnérabilités.
- Le système d’exploitation de LG WebOS était en cause, les failles ont depuis été corrigées.
