Sécurité des objets connectés : priorité de la dernière PrivacyCon

Sécurité des objets connectés : priorité de la dernière PrivacyCon

securité des objets connectesLa sécurité des objets connectés (IoT) était clairement la vedette, la semaine passée, de cette dernière édition de la PrivacyCon.

PrivacyCon est organisée par la Federal Trade Commission (FTC) américaine, un organisme de surveillance des consommateurs, qui cherche à réunir des experts pour se concentrer sur “la recherche et les tendances liées à la confidentialité des consommateurs et à la sécurité des données”.

Deux étudiants de Princeton ont présenté un article intitulé : The Internet of Unpatched Things, qui résume bien (malheureusement) ce que l’on pouvait s’attendre à entendre : à savoir que de nombreux objets connectés sont encore conçus et programmés pour leur utilisation première uniquement, sans tenir compte de la manière avec laquelle ils seront utilisés, et sans même intégrer le fait qu’ils aient des responsabilités particulières en matière de sécurité des objets connectés.

Les chercheurs ont pris un ensemble hétérogène d’objets connectés et ont observé leurs comportements lorsqu’ils étaient en ligne :

securité des objets connectes

Ils n’ont pas précisé comment ils avaient choisi ces objets connectés, mais nous devinons qu’ils ont dû tout simplement faire le tour de leurs amis, à la recherche d’objets ayant déjà passé avec succès le test suivant : “nous l’avons acheté parce qu’il avait l’air vraiment trop cool“.

Parmi ces objets : nous avons trouvé un thermostat domestique (oui, de chez Nest), des enceintes numériques, une caméra de vidéosurveillance, un cadre photo numérique et un Smarthub connecté qui était lui-même une passerelle entre internet, le capteur d’une porte et un commutateur intelligent.

NB : Le commutateur intelligent se résume à une prise de courant que vous pouvez activer et désactiver via Internet, par exemple pour gérer des équipements en particulier ou bien pour profiter du tarif électrique des heures creuses.

Plutôt que d’essayer de dé-compiler le firmware et d’anticiper les possibles comportements de l’appareil à l’aide de techniques analytiques, les chercheurs ont pris une approche beaucoup plus pragmatique et déductive : ils les ont connectés et configurés, et ont ensuite observé leurs comportements.

Voici, ci-dessous les principaux comportements qu’ils ont pu observer :

  • Le cadre photo a utilisé une connexion HTTP non chiffrée pour son trafic, qui comprenait notamment l’identifiant de l’équipement et votre adresse email.
  • La caméra de vidéosurveillance a transmis ses images en clair via une connexion HTTP. Ainsi, tout en vous aidant à garder un œil sur d’éventuels voleurs, elle aide les cybercriminels à garder un œil sur vous !
  • L’enceinte a diffusé ses données de manière non chiffrée.
  • Le thermostat Nest a utilisé une connexion HTTPS, sauf que les mises à jour météorologiques entrantes incluaient votre code postal en clair (ce problème a été signalé à Nest et a été maintenant corrigé).
  • Le Smarthub semblait utiliser une connexion HTTPS, bien qu’une analyse de trafic était possible, par exemple pour différencier l’activité causée par le capteur de la porte et celle venant du commutateur intelligent.

Pour être plus précis : l’analyse du trafic consiste à observer pour voir si “quelque chose” est dit, sans se préoccuper de ce qui est dit exactement. Ensuite, on peut éventuellement déduire ce qui aura été dit à partir des détails tels que l’origine du message, l’heure d’envoi et sa taille.

La bonne nouvelle est qu’au moins deux fabricants ont essayé, apparemment avec un certain succès, d’intégrer la sécurité au sein de leurs dispositifs.

Mais la mauvaise nouvelle est que les autres semblaient avoir complètement ignoré la notion de sécurité des objets connectés : comme la caméra de vidéosurveillance qui permet aux autres personnes de garder un œil sur vous, aussi facilement que vous gardez un œil sur eux !

Les futures recherches concernant la sécurité des objets connectés

Le papier n’est pas aller plus en profondeur pour regarder avec quelle fiabilité les dispositifs de Nest et de Smarthub géraient leurs sessions HTTPS.

Les chercheurs pourront certainement approfondir davantage ce point lors d’une prochaine étape.

Si vous interceptez ces connexions HTTPS, ce que l’on appelle une attaque de l’Homme du Milieu (MiTM) où le trafic est signé avec votre propre certificat HTTPS fait maison au lieu d’un certificat officiel du fournisseur, la question est donc la suivante : est ce que l’équipement en question vous enverra un avertissement, et ce au bon moment ?

Une connexion HTTPS qui fournit uniquement le chiffrement, sans s’assurer que vous parlez bien à la bonne personne, et que votre trafic n’a pas été altéré, n’est pas d’une grande utilité et donne généralement un faux sentiment de sécurité.

Les communications sécurisées exigent une connexion avec 3 niveaux d’exigence : la confidentialité (via le chiffrement pour que les autres ne puissent pas espionner), l’intégrité (pour que personne d’autre ne puisse modifier le message en cours de route) et enfin l’authenticité (pour être sûr de parler à la bonne personne, et pas à un escroc).

//platform.twitter.com/widgets.js
Partagez Sécurité des objets connectés : priorité de la dernière PrivacyCon : http://wp.me/p2YJS1-3aV
Billet inspiré de IoT security in the spotlight at PrivacyCon, par Paul Ducklin, Sophos NakedSecurity.

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *