Quelques années en arrière, un site qui se revendiquait un white-hat de manière plutôt douteuse, en pointant du doigt les dangers de ne pas changer les mots de passe par défaut des caméras IP, rassemblait en réalité des live streaming, permettant à des inconnus d’espionner les flux de données provenant de babyphones et de caméras de surveillance dans les chambres, bureaux, magasins, restaurants, bars, piscines et stades.
Des journalistes du Daily Mail qui ont pu visionner les enregistrements ont déclaré qu’ils avait vu des bébés dans leurs berceaux, un écolier en train de jouer sur son ordinateur chez lui dans le Nord de Londres, un autre enfant endormi dans son lit, l’intérieur du vestiaire d’un pasteur dans une église à Surrey, une vieille dame en train de se reposer sur son fauteuil, et 2 hommes dans une cuisine en train de manger.
Néanmoins ce sont des nouvelles qui datent à présent de 2014. Malheureusement, malgré les conseils réguliers pour changer vos mots de passe par défaut sur ces équipements, et les avertissements lancés aux fabricants pour sécuriser ces derniers dès le départ, très peu de choses ont changés.
Récemment, le watchdog anglais des données, l’, a publié sur son blog en expliquant que l’on continuait à voir des gens et des fabricants d’équipements commettre les mêmes erreurs : à savoir que les gens ne sécurisent pas ces gadgets, et les fabricants n’intègrent pas la sécurité appropriée au sein de ces produits.
Lorsque Ars Technica a contacté l’ICO, il a refusé de donné les noms des sites qu’il avait identifié comme fournissant ce genre de live streaming.
Cependant, un porte-parole a déclaré à Ars qu’il n’était pas nécessaire de passer par un site web intermédiaire pour espionner des gens, étant donné que l’on pouvait se connecter directement aux équipements en question. Après tout, ils sont faciles à trouver avec des moteurs de recherche.
Ars a rapporté les propos de la porte-parole :
Avec l’estimation de plusieurs milliards d’objets connectés susceptibles d’être reliés à internet en 2020, il s’agit d’un problème que l’on doit traiter. Nous ne recommandons pas un modèle en particulier mais nous incitons les utilisateurs à suivre nos conseils lors de l’achat et le paramétrage de leurs objets connectés.
Même l’objet connecté le plus sécurisé peut être victime d’accès non autorisé, si son identifiant et son mot de passe ont été définis, ou laissés par défaut, sous admin.
Les objets connectés non sécurisés posent des problèmes qui dépassent la violation de la vie privée, a déclaré Simon Rice, de l’ICO et Manager des Technologies.
En utilisant des gadgets connectés qui ne sont pas sécurisés, nous mettons en danger aussi nos propres données personnelles.
Un manque de sécurité lorsqu’il s’agit des objets connectés peut signifier tout simplement qu’un moteur de recherche peut être utilisé par des cybercriminels, pour localiser des équipements vulnérables et ensuite accéder à ces derniers ou à d’autres à partir de votre réseau domestique.
Un hacker peut ensuite utiliser votre équipement pour mettre en place des attaques visant d’autres personnes, ou bien utiliser vos données personnelles pour commettre des délits d’usurpation d’identité.
Nous connaissons l’un de ces moteurs de recherche d’objets connectés en particulier, qui fait régulièrement les gros titres, il s’agit de Shodan.
Shodan scrute internet dans les moindres recoins, se connecte à des services ne ligne, et analyse ce qu’il reçoit en retour, pour enfin construire des index de recherches à partir de tous ces résultats.
Il s’agit ici d’un danger assez sérieux, étant donné que chacun de ces objets, tels que des bouilloires, TVs et babyphones, sont connectés à internet avec des failles de sécurité basiques et non traitées.
De plus, le fait qu’ils soient faciles à trouver avec un moteur de recherche tel que Shodan, rend la situation encore plus dangereuse.
Nous ne pouvons pas tenir les utilisateurs responsables de tous ces équipements connectés non sécurisés. En l’état, les fabricants peuvent nettement améliorer la sécurité : ils pourraient, par exemple, commercialisés ces équipements avec des mots de passe qui soient propres à chaque équipement. Ils pourraient aussi fabriquer des équipements qui exigent le changement du mot de passe lors de la première installation.
La porte-parole de l’ICO a déclaré que les fabricants devraient “soumettre les objets connectés à des tests de sécurité sérieux avant la commercialisation et avant chaque mise à jour du firmware”.
Ars a rapporté les propos de la porte-parole :
Il faut également qu’ils s’engagent à prendre en charge ces équipements pendant une durée raisonnable après le lancement, et agir rapidement suite aux signalements de failles de sécurité. Ils doivent aussi s’engager à “sécuriser ces équipements par défaut”, et à rendre l’interface utilisateur intuitive.
La sécurité ne doit pas être confiée aux seuls utilisateurs, qui doivent au final configurer eux-mêmes l’équipement via une interface utilisateur peu ergonomique et conviviale.
Simon Rice a déclaré que l’ICO continuait à travailler avec les fabricants pour améliorer cette situation.
Néanmoins les utilisateurs ne sont pas en sécurité pour autant, a-t-il déclaré. En effet, si les gens ne se protègent pas eux-mêmes et leurs proches lorsqu’ils utilisent ces équipements, leurs données personnelles risquent d’être facilement accessibles via les moteurs de recherche populaires, une navigation internet basique, ou encore sous les assauts de cybercriminels déterminés.
L’ICO a fourni ces conseils basiques concernant la sécurité lors de l’utilisation d’objets connectés :
- Rechercher les objets connectés le plus sécurisés possibles avant d’acheter. Par exemple, des téléphones portables ne reçoivent jamais, et ne recevront jamais de mises à jour sécurité.
- Sécuriser votre routeur avec un mot de passe robuste. Certains routeurs n’utilisent même pas un mot de passe, alors que d’autres se reposent sur le mot de passe par défaut qui est très simple à deviner. Voici comment créer un mot de passe robuste et complexe.
- Sécuriser l’équipement en changeant l’identifiant et le mot de passe par défaut. L’ICO souligne d’ailleurs que les identifiants et mots de passe par défaut, pour beaucoup de ces équipements sont disponibles gratuitement sur internet, et peuvent être localisés facilement. Encore une fois, choisissez un mot de passe robuste, et assurez-vous qu’il soit unique. Aujourd’hui il existe des outils qui détectent automatiquement les identifiants et mots de passe réutilisés, ce qui facilite davantage l’accès aux sites internet sur lesquels vous réutilisez ces derniers.
- Vérifier les sites des fabricants au sujet de failles de sécurité et des vulnérabilités connues. Ne négligez aucune vulnérabilité, assurez-vous de mettre à jour le logiciel dès qu’il le faut.
- Ne vous contentez pas du Plug & Play. A la place, prenez le temps de lire le guide d’utilisation : il se peut qu’il existe des options supplémentaires en matière de sécurité et de confidentialité.
- Utilisez le 2FA (two-factor authentification) dès que possible. Le 2FA, néanmoins, n’est pas infaillible, mais il complique nettement la vie des cybercriminels lorsqu’ils essaient d’avoir accès à vos comptes, et ce même s’ils ont réussi à se procurer vos identifiants.
Billet inspiré de Warning issued over baby monitor, webcam, IoT security… again! par Lisa Vaas, Sophos NakedSecurity.