Data Privacy Day : les risques des appareils domotiques
Ces appareils domotiques sont de petites merveilles de technologie, et sans nul doute une véritable évolution.
Mais comme tous les progrès technologiques, des risques existent. Demain sera le Data Privacy Day, le moment idéal pour passer en revue ces risques, et mieux comprendre ce que les utilisateurs peuvent faire pour protéger leurs données personnelles.
Vos appareils domotiques vous écoutent !
La préoccupation principale, parmi les experts en sécurité, quand il s’agit des appareils domotiques est le niveau d’ingérence de ces derniers dans la vie privée. Ils obéissent évidemment à tous les désirs de l’utilisateur, mais jusqu’où vont-ils dans l’écoute de ce dernier, et surtout le respect de la vie privée se trouve-t-il mis en danger ?
Un cas de meurtre dans l’Arkansas est une étude de cas intéressante.
La police d’Arkansas espère qu’un Amazon Echo trouvé sur une scène de crime à Bentonville, les aidera dans leur enquête sur la mort d’un homme étranglé dans Jacuzzi.
L’appareil en question répond au nom d’Alexa, joue de la musique et répond à des questions simples sur simple commande vocale. Il enregistre également ce que vous dites et l’envoie à un serveur.
L’assistant intelligent d’Amazon enregistre en principe uniquement ce qui lui ait dit directement, après avoir été activé par une personne ayant prononcé le mot “Alexa”. Cependant, la police espère que l’habitude de ces appareils domotiques de tendre l’oreille facilement en réponse à une radio ou à la télévision, aura pu permettre l’enregistrement par inadvertance d’un événement utile pour leur enquête.
Mais comme beaucoup de d’acteurs majeurs du secteur technologique, Amazon a résisté à la pression de remettre ce type de données clients aux services de police. Amazon stocke ses enregistrements vocaux en provenance d’Echo sur ses serveurs pour améliorer son service, mais la société basée à Seattle, qui a apparemment divulgué les détails du compte de l’agresseur présumé à la police, a refusé de fournir les enregistrements vocaux malgré l’émission d’un mandat de perquisition.
Bien que l’on ne sache pas vraiment si les enregistrements vocaux réalisés par Echo seront utilisables, cette affaire soulève une question plus importante : avec Echo/Alexa, Siri, Cortana et l’assistant Google Home, présents dans de nombreux foyers de nos jours, et sachant que la plupart de ces appareils domotiques ont la capacité d’écouter et d’enregistrer, qui peut être en mesure d’exploiter toutes ces données ?
Dans ce cas, les services de police veulent avoir accès à l’appareil en question. Mais à l’avenir, il pourrait s’agir tout simplement de cybercriminels qui chercheraient à vous écouter !
Leçons à tirer de l’attaque contre Dyn
Les assistants personnels font partie de ces appareils domotiques s’inscrivant dans un concept plus vaste de maison intelligente. Ainsi, il est utile de porter notre attention sur les menaces qui ont déjà pris pour cible des objets connectés (IoT).
Les experts en sécurité ont depuis longtemps déjà mis en garde contre les menaces ciblant les appareils domestiques connectés à Internet. Ces menaces sont devenues bien réelles à l’automne dernier lorsque que le malware Mirai a détourné des webcams et d’autres objets connectés pour intégrer des botnets géants afin de lancer une attaque coordonnée contre Dyn, l’une des sociétés hébergement du Domain Name System (DNS). Cette attaque a paralysé des sites aussi importants que Twitter, Paypal, Netflix et Reddit.
Pour être plus clair, cette attaque a infecté des objets connectés, et les a utilisés pour attaquer une entreprise. Ce n’est pas la même chose que d’être espionné, mais dans de nombreux cas, l’objectif final est rigoureusement le même : les “bad guys” veulent pouvoir mettre la main sur vos données personnelles afin de servir leurs intérêts personnels où ceux de la cause qu’ils représentent.
Quelques années en arrière, les attaques impliquant des objets connectés étaient vues comme une menace potentielle dans un avenir plutôt lointain. Maintenant, les risques encourus sont bien réels. Pour certains experts, ce n’est qu’une question de temps avant que des attaques visant des assistants personnels fassent clairement partie de notre quotidien.
Mesures défensives
Ceux qui choisissent d’utiliser des appareils domotiques ne peuvent pas et ne devraient pas s’attendre à un respect de la vie privée sans faille. En effet, sans cette capacité d’Amazon Echo et de Google Home à écouter, ces objets deviendraient rien de plus que des bloque-portes ou des presse-papiers !
Mais il existe des actions que les utilisateurs peuvent mettre en place pour limiter les conséquences potentielles d’événements inattendus.
Voici quelques exemples :
- Vous n’utilisez pas votre Echo souvent ? Désactivez-le. Le bouton pour activer/désactiver est juste au-dessus de l’appareil. Le micro “d’écoute en continu” s’éteindra jusqu’à ce que vous décidiez de le rallumer.
- Ne connectez pas des comptes sensibles à Echo. Dans de nombreux cas, la connexion en série de plusieurs comptes s’est mal terminée pour l’utilisateur.
- Effacer les anciens enregistrements. Si vous utilisez un appareil Echo, alors vous avez certainement un compte Amazon. Si vous allez sur le site internet d’Amazon et que vous regardez sous “Gérer votre contenu et vos appareils”, vous verrez alors apparaitre un tableau de bord pratique, où vous pouvez supprimer des requêtes individuelles ou effacer l’historique de recherche en entier.
- Restreignez les paramètres de Google. Si vous utilisez Google Home, vous connaissez déjà l’appétit sans limite du leader de la recherche sur internet pour la collecte de données. Mais Google offre des outils pour restreindre les paramètres. Comme pour Echo, Home dispose d’un bouton de désactivation et d’une page web pour le paramétrage, sur laquelle vous pouvez accorder ou retirer certaines autorisations.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Data Privacy Day : les risques des appareils domotiques : http://wp.me/p2YJS1-3ci
Billet inspiré de Know the risks of Amazon Alexa and Google Home, par Bill Brenner, Sophos NakedSecurity.