Alors qu’ils menaient des recherches sur la sensibilité des objets connectés vis-à-vis du piratage, les chercheurs de l’Université Ben Gourion ont découvert que de nombreux fabricants et propriétaires de périphériques IoT facilitaient le travail des pirates.
Les mots de passe par défaut des objets connectés prêt à l’emploi sont souvent mis en ligne, généralement par le fabricant de l’appareil pour faciliter la configuration rapide de ces derniers.
Ce fût une tâche facile d’obtenir ces mots de passe : l’équipe de chercheurs de Ben-Gurion ont l’habitude de pouvoir trouver des mots de passe par défaut en moins de 30 minutes, et ce avec une simple recherche sur Google !
Le problème est que si un mot de passe par défaut est en ligne pour que le propriétaire de l’objet en question puisse l’utiliser, alors un cybercriminel pourra facilement le trouver et l’utilisera très certainement aussi. Heureusement pour les hackers, de nombreux propriétaires d’objets connectés ne modifient jamais les mots de passe par défaut de leur périphérique une fois qu’ils ont été configurés, et souvent le fabricant de l’appareil n’encourage pas le propriétaire à le faire !
Pire encore dans certains cas, le mot de passe par défaut ne peut pas être changé. Malheureusement, les propriétaires de périphériques non-avertis resteront avec l’illusion d’être en sécurité. En effet le mot de passe certes existe, mais laisser un mot de passe par défaut n’est pas vraiment une amélioration par rapport à une absence totale de mot de passe.
Aggravant encore davantage la situation, les chercheurs ont également constaté que de nombreux mots de passe par défaut affichés en ligne étaient partagés entre les appareils fabriqués par les mêmes fabricants.
Le fait que de nombreux propriétaires d’objets connectés ne changent jamais les mots de passe par défaut est bien connu des chercheurs en cybersécurité et des cybercriminels. Dans la plupart des cas, trouver des objets connectés à internet et en accès libre, parfois sans même de mot de passe par défaut, ne nécessite qu’une recherche rapide sur Shodan, familièrement appelé “Google pour les objets connectés à internet” !
Souvent, les appareils trouvés sur Shodan se trouvent dans le monde de l’entreprise ou de l’industrie, sous la forme de bases de données marketing exposées ou de systèmes de contrôle industriel, mais les objets connectés grand public y apparaissent de plus en plus.
Après avoir obtenu l’accès à ces appareils, les chercheurs de Ben Gourion ont pu contrôler à distance les équipements qu’ils recherchaient, comme des thermostats, des moniteurs bébé et des caméras domestiques de sécurité. En plus de pouvoir espionner les propriétaires, l’accès à ces périphériques IoT ont permis généralement aux chercheurs d’accéder facilement aux réseaux personnels de leurs propriétaires, car les informations d’identification Wi-Fi n’étaient pas correctement sécurisées au niveau de ces appareils.
Réussir à pénétrer au sein d’un réseau Wi-Fi domestique pour infecter des périphériques avec des malwares, le tout via une cafetière connectée mal sécurisée, peut sembler légèrement ridicule, mais c’est malheureusement tout à fait possible ! Et avec les objets connectés qui continuent d’inonder le marché, il s’agit d’un scénario que nous sommes susceptibles de voir se reproduire de plus en plus. Après tout, n’oublions pas que les objets connectés non sécurisés étaient au cœur du botnet Mirai.
Le conseil aux propriétaires d’objets connectés est clair : ne facilitez pas la vie des cybercriminels. Assurez-vous que vous n’utilisez pas les mots de passe par défaut, et remplacez-le par un mot de passe unique et complexe.
Billet inspiré de The password to your IoT device is just a Google search away, sur Sophos nakedsecurity.