Caméras de surveillance, télés connectées, enceintes et thermostats intelligents… les objets connectés (IoT) envahissent le quotidien des consommateurs et diffusent des informations qu’ils collectent de façon aussi croissante, laissant toujours moins de place pour une vie vraiment privée. Problèmes : sont concernés plus de 8,4 milliards d’objets connectés à Internet disponibles en 2017. Selon le cabinet d’études Gartner ce chiffre pourrait atteindre 20,4 milliards d’ici 2020. En 2017, le marché grand public représente 63 % de tous les appareils utilisés, soit 5,2 milliards d’unités. Analyse et recommandations de sécurité d’Arsène Liviu (photo) recueillis par Laurent Amar pour le site de l’actualité de La Maison-connectée**
Depuis plusieurs années, les chercheurs en sécurité mettent en garde contre les prises connectées, qui sont vulnérables par défaut, les ampoules intelligentes et autres objets connectés au réseau domestique. Pour l’utilisateur, le danger ne concerne pas uniquement l’appareil ciblé. La menace peut en effet se propager sur tous les autres appareils qui partagent le réseau car en exploitant la vulnérabilité d’un seul objet connecté, l’attaquant peut accéder au réseau domestique et compromettre la sécurité de tous les autres appareils (les ordinateurs portables et appareils mobiles par exemple), mais aussi des données privées et personnelles stockées sur des espaces partageant ce même réseau.
Smart TV
Les Smart TV sont désormais courantes et de plus en plus présentes dans les foyers. Même si l’utilisateur moyen ne perçoit généralement pas cet objet comme « connecté », la télévision dispose bien d’une connexion Internet et d’un système d’exploitation. Elle est donc exposée aux menaces, au même titre qu’un smartphone ou qu’une tablette. Les Smart TV étant désormais touchées par les infections de ransomwares, les utilisateurs doivent non seulement installer une solution de sécurité, mais aussi chercher régulièrement des mises à jour logicielles afin de corriger toutes les vulnérabilités connues.
Caméras IP et babyphones
Alors que les Smart TV peuvent être équipées de logiciels de sécurité, d’autres objets comme les webcams, les babyphones ou les caméras IP ne proposent pas cette option. Les chercheurs en sécurité ont souvent démontré que les hackers pouvaient facilement accéder à ces objets à distance en exploitant leurs ports et services Internet (p. ex. Telnet, SSH) ou les vulnérabilités non corrigées de leurs logiciels.
Certains de ces appareils exécutent des versions logicielles obsolètes et les utilisateurs ne sont jamais informés de l’existence de versions plus récentes corrigeant de graves failles de sécurité. Mais il existe aussi un autre risque : certains fournisseurs de services cloud, responsables du stockage des flux vidéo, négligent la protection des données et de la vie privée, allant parfois même jusqu’à ne pas chiffrer les données stockées et en transit. Une telle négligence se révèle problématique en cas d’attaque MITM, puisque l’attaquant a alors accès aux données enregistrées par votre caméra et peut même éventuellement en prendre le contrôle pour parler à vos enfants.
Il appartient généralement à chaque utilisateur de modifier les mots de passe par défaut d’un appareil dès son achat, de bloquer les ports d’accès à distance de ses routeurs, voire de les connecter à des réseaux Wi-Fi distincts afin de limiter la propagation.
Ampoules et interrupteurs connectés
Aujourd’hui, la maison connectée comprend aussi des ampoules et des interrupteurs intelligents qui doivent être connectés en Wi-Fi afin d’être contrôlables à distance. Ces objets posent les mêmes problèmes que les autres appareils connectés en matière de sécurité et seules quelques solutions s’offrent aux utilisateurs. L’une de ces solutions consiste à s’informer sur les caractéristiques de sécurité des objets concernés, de s’assurer de la fiabilité des fabricants et de l’existence d’une politique de correction des failles de sécurité signalées. Il est aussi vivement recommandé de changer les mots de passe par défaut tout de suite après l’achat. En effet, certains moteurs de recherche, tels que Shodan, parcourent Internet à la recherche d’objets connectés associés à des certificats par défaut, ce qui permet aux attaquants d’y accéder facilement à distance.
Pourquoi parle-t- on autant de la sécurité des objets connectés ?
Traditionnellement, la sécurité concernait exclusivement les ordinateurs et les smartphones, devenus des cibles de choix pour les hackers, par leur essor et leurs parts de marché. Mais avec l’avènement des objets connectés et le manque, voire l’inexistence, de solutions de sécurité, les attaquants profitent de passerelles faciles qu’ils exploitent pour compromettre l’ensemble de nos réseaux domestiques, et pas seulement un simple appareil. Les mécanismes de sécurité classiques ne sont pas applicables aux objets connectés qui, contrairement aux autres systèmes d’exploitation, sont incompatibles avec l’installation de logiciels supplémentaires.
Par conséquent, la sécurité des objets connectés doit comprendre deux technologies efficaces et distinctes : une détection anti-malware et une analyse des vulnérabilités. Sur le réseau, une solution de sécurité pour objets connectés doit vérifier que le trafic entrant (ou sortant) n’est pas malveillant ou corrompu et bloquer les malwares et les pages de phishing afin qu’ils n’atteignent pas l’appareil ciblé.
Le module d’analyse des vulnérabilités doit régulièrement analyser les appareils connectés au réseau à la recherche de tout logiciel obsolète ou vulnérable, mais aussi des problèmes de configuration (p. ex. des ports Telnet ou SSH ouverts et accessibles via Internet, des mots de passe faibles, des exploits connus, etc.). Lorsque le module d’analyse des vulnérabilités a terminé son analyse des appareils connectés en local, un rapport complet doit indiquer les failles détectées (le cas échéant) et les mesures à entreprendre afin de corriger les problèmes.
Astuces pratiques de sécurité pour les objets connectés
1. S’informer. S’informer. Et encore s’informer.
Avant l’achat de tout objet connecté, informez-vous sur ses caractéristiques, sa politique de gestion des données collectées et cherchez si le fabricant dispose d’une politique claire de sécurité et de mise à jour logicielle en cas de découverte de vulnérabilités de l’appareil. Un objet connecté doit certes être pratique et doté de fonctionnalités intéressantes, mais il doit avant tout être sécurisé et gérer vos données personnelles correctement.
2. Changer les mots de passe par défaut
Lorsque vous connectez un nouvel appareil à votre réseau domestique, la toute première chose à faire est de remplacer le mot de passe par défaut par un nouveau mot de passe entre 8 et 16 caractères composés de minuscules et de majuscules, de chiffres et de caractères spéciaux. Rappelez-vous qu’il existe un moteur de recherche, Shodan, qui cherche tous les objets connectés à Internet avec un mot de passe par défaut, ou sans mot de passe.
3. Segmenter son réseau
L’opération peut sembler compliquée, mais la configuration d’un réseau Wi-Fi distinct dédié aux objets connectés est très sensée en matière de sécurité. Si quelqu’un venait à prendre le contrôle à distance d’un objet vulnérable, les autres appareils de la maison, contenant vos données, ne seraient pas affectés ou mis en danger (p. ex. les ordinateurs portables, les disques durs connectés, NAS, etc.).
4. Mettre les logiciels à jour
Sur vos ordinateurs portables ou appareils mobiles, vous installez régulièrement les mises à jour du système et de sécurité. Il faut appliquer le même principe aux objets connectés. Les fabricants publient parfois des mises à jour et des correctifs de sécurité visant à empêcher les hackers de prendre le contrôle de vos appareils et de vous nuire.
Domoclick.com avec **Arsene Liviu pour La Maison connectée:
http://www.la-maison-connectee.fr/
Sur le même sujet: EXCLUSIF, Thibaut Watrigant (2/2) « Le marché des objets connectés B2B va se développer rapidement et à très grande échelle.
