Gare aux cyber-risques liés aux objets connectés !
Avec l'avènement des objets connectés, on est réellement entré dans l’ère du cyberespace. L’accès à internet est permanent, tout en étant discret, ce qui nous expose au travers de tous nos objets du quotidien à des menaces quasi imperceptibles.
Ces objets connectés, autres que les téléphones portables, ne sont pas forcément bien protégés des cyber-attaques. En effet, les constructeurs apportent davantage d’attention à ce que ces objets soient faciles d’usage, plutôt qu’à les sécuriser pleinement. Comme l’indique Aamir Lakhani (FortiGuard Labs) :
"Designing a device that is easy to set up and also secure is difficult because manufacturers need to contend with a large variety of home networks, routers, access points, and other devices. Therefore, manufacturers make their devices accessible for 'the least common denominator,' which usually means using security protocols that are not always the most secure for every environment."
Les interconnexions augmentent fortement, et donc la surface d'attaque également. Pendant la crise du COVID-19 en 2020, les cyberattaques ont augmenté de 30% (source Sonic Wall) ! Autant garder à l’esprit que les attaques sont constantes et de plus en plus sophistiquées.
Tous les objets connectés sont concernés par des failles de sécurité
Et en voici quelques exemples marquants :
Tout d'abord les smartphones, objet connecté N°1
Les smartphones sont, comme tous les appareils connectés à internet, la cible des pirates. Et comment peut-on investir un téléphone ? Applications malveillantes, emails frauduleux, SMS piégés… Les portes d'entrées sont nombreuses. En particulier, il faut se méfier des liens courts qui ne permettent pas de connaître la cible réelle du lien. Ces liens frauduleux risquent de télécharger des fichiers sur votre smartphones ou bien de vous diriger vers un formulaire vous demandant de faire une action particulière, à votre insu. Même sans lien raccourci, l’utilisateur peut se faire facilement piégé, comme récemment avec de faux SMS limitants ceux du gouvernement(Source : Le Monde).
Certaines applications mobiles permettent à des pirates de s’installer dans votre téléphone, afin d’en prendre le contrôle partiel. Attention donc aux applications demandant l’accès à telle ou telle ressources (vos contacts, photos, appareils photos…). Les exemples ne manquent pas, en particulier dans le domaine des cryptomonnaies (Android : 170 applications de minage de cryptomonnaie pointées du doigt).
Les caméras de surveillance
Ils sont sans doute les appareils les plus vulnérables dans leur conception même. De très nombreuses failles ont déjà été révélées et dans certains cas, c’est la conception même qui est en cause. Par exemple, afin de simplifier l’utilisation de certaines caméras depuis un smartphone, les connexions utilisent le Peer2peer et un simple identifiant est suffisant pour les piloter. Il n’est donc pas étonnant de pouvoir intercepter les communications avec une attaque de type Man In The Middle, d’autant plus que les échanges ne sont pas chiffrés ! Les explications complètes sont disponibles sur Security Boulevard.
Les caméras de surveillance sont particulièrement problématiques car elles sont au cœur de notre vie privée. Malheureusement les exemples de hacks sont légions, à tel point qu’une class action contre Amazon a été lancée aux États-Unis (https://www.bitdefender.com/blog/labs/ring-video-doorbell-pro-under-the-scope/). Même si certaines failles sont comblées, il n’en reste pas moins que de nouvelles apparaissent régulièrement. Avant d’installer une caméra de surveillance, évaluez bien les risques au regard des bénéfices réels.
Les enceintes connectées
Grâce à leur assistant vocal, ils sont extrêmement populaires mais leur principe même de fonctionnement est loin d’être idéal en termes de sécurité. Le problème ici est très simple : puisque ces appareils se pilotent à la voix, il est facile d'interagir avec tout ce que ces enceintes peuvent commander (portes, éclairages, achats sur internet…). Il n’est pas nécessaire d’enregistrer une voie en particulier, tout le monde peut piloter l’appareil sans restriction ! Des chercheurs ont même réussi à les piloter de façon silencieuse avec un laser !
Les voitures connectées
Elles sont également potentiellement des vecteurs de cybercriminalité. Prendre leur contrôle semble possible (mais pas non plus trivial), en tout cas pour le moment (Voir la vidéo). Certains constructeurs semblent ainsi retarder la commercialisation de véhicules totalement autonomes, à la fois pour des questions techniques mais aussi pour garantir un très bon niveau de sécurité (Source : Phonandroid).
Il existe également des aquariums connectés !
Ces derniers ne sont pas exempts de problèmes de cybercriminalité. Un incident s’est produit en 2017 au sein d’un casino dont le nom n’a pas été révélé. Ce dernier avait installé un aquarium équipé d’un capteur d’analyse de l’eau connecté. Cela permettait de récupérer les données du capteur via le réseau local. Or un pirate a réussi à infiltrer le réseau du casino via le capteur connecté, et a récupéré 10Go de données stockées sur une base locale, en les envoyant via internet vers un serveur en Finlande.
Et tous les autres..
On constate qu’aucun appareil connecté à internet n’est véritablement à l'abri des cyberattaques, et pourtant la diversité de ces objets est impressionnante : appareils médicaux, réfrigérateur, babyphones, thermostats, serrures, volets automatiques, montres, ampoules… Chacun de ces objets est une porte d’entrée potentielle au réseau internet.
Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter :
Elsa BestaultDirectrice Commerciale
La source des cyber-risques associés aux objets connectés
Par définition, les objets connectés ont besoin d’un accès à internet. Ils sont donc naturellement exposés et susceptibles d'intéresser les pirates.
La gestion d’un appareil connecté nécessite un compte et donc un mot de passe, soit pour se connecter à un service, soit en limiter l’accès. Or pratiquement personne ne change les identifiants par défaut, et du coup s’expose à des attaques aux conséquences plus ou moins fâcheuses.
Les mises à jour sont peu fréquentes et pas forcément faciles à appliquer. Tous les appareils ayant un logiciel informatique pour fonctionner, doivent être mis à jour. Les constructeurs font évoluer ces softs, en particulier pour combler des failles de sécurité. Mais peu sont les utilisateurs à faire ces mises à jour, soit par négligence (on ne voit pas vraiment où est le risque), mais aussi parce qu’il faut savoir le faire. Et ce n’est pas toujours trivial.
Notons également que certains appareils connectés ne peuvent pas être mis à jour ! En effet, le logiciel d’exploitation est “en dur” sans possibilité d’être modifié. Il faut donc vérifier ce point avant un achat, et ne privilégier que les appareils pouvant être upgradés.
Le réseau local est souvent correctement protégé des attaques les plus courantes, mais certains appareils qui y sont connectés, ne disposent pas de protection particulière. Ainsi, on peut accéder au réseau plus facilement via des objets connectés mal sécurisés que via les portes d’entrée/sortie classiques (serveurs, box internet…). Par ailleurs, un grand nombre d’appareils communiquent “en clair” sur le réseau WIFI interne (aucun chiffrement des échanges). Il est donc possible d’être victime d’une attaque de type MITM (Man In The Middle) et de se faire voler des informations sensibles.
Les objets connectés les plus populaires sont les téléphones portables, même si tout le monde ne les considère pas forcément comme tel. Ils sont certes bien mieux protégés que la plupart des autres objets connectés, mais ils ne sont pas non plus totalement à l'abri. Ainsi, il faut se méfier des bornes de recharge mises à disposition dans des lieux publics. Il est relativement simple de mettre en place de telles bornes, qui vont récupérer les données de l’appareil qui y est connecté. Ainsi, pensant simplement recharger son téléphone, un utilisateur est peut-être en train de fournir toutes ses données personnelles. Une expérience a été faite lors d’un événement sur la cybersécurité, et le résultat a été très bon : nombreux sont ceux qui ont branché leurs appareils pour les recharger, sans imaginer un instant le risque encouru. Et il s’agissait de spécialistes en cybersécurité ! Dans le doute, il est préférable d’éteindre son appareil avant de le brancher à n’importe quelle borne.
Quelles conséquences pour nous ?
Globalement, la plupart des objets connectés sont peu ou mal protégés. Il y a eu, et il y aura encore de nombreuses failles exploitables. Très souvent, ces dernières permettent de récupérer des informations personnelles, voire intimes, mais parfois les conséquences peuvent être plus globales, comme l’a montré Mirai, une attaque par dénis de service lancée depuis des appareils connectés de toutes sortes. L’ampleur de cette attaque était telle que le réseau internet de la côte est américaine fût partiellement bloqué ! C’est évidemment très rare, mais le code source de Mirai a été entre-temps publié (https://github.com/jgamblin/Mirai-Source-Code), ce qui pourrait conduire à d’autres attaques du même type. Mirai fût la première attaque d’ampleur, certainement pas la dernière.
Les fabricants doivent urgemment s'adapter !
Nombre d’entreprises se lançant sur le marché des objets connectés n’ont aucune expérience dans le domaine de la cybercriminalité (cela n’est pas leur métier !), mais commercialisent des objets connectés avec comme objectif que cela fonctionne le plus simplement du monde. Malheureusement, on sait que tôt ou tard des failles de sécurité vont être dévoilées, mettant plus ou moins en danger les utilisateurs. Il ne faut donc certainement pas avoir une confiance aveugle en ces produits.
L’utilisation d’objets connectés est chaque jour plus massive, et leur exposition à la cybercriminalité est un réel souci qui, pour le moment, n’a pas de réponse simple. Il va falloir pourtant adresser sérieusement ce problème qui touche une population toujours plus nombreuse.
Vous souhaitez en savoir plus ?
Rencontrons-nous
- Sécurité
Participez à nos workshops et events
Nous contribuons aux évolutions et aux conférences technologiques en Europe
-
Drupagora
-
Image
-
Image
-
Image
-
Image
-
DrupalEurope