Tester les faiblesses de la sécurité des objets connectés (IoT) peut souvent ressembler à une tâche insurmontable. Les experts font état d’une multitude de vulnérabilités au niveau des firmwares, des communications sans fil non sécurisées et du laxisme des consommateurs concernant les risques liés à la connexion de périphériques intelligents à un réseau domestique.
Avec une si mauvaise réputation, les choses pourraient-elles s’améliorer ?
Pas aussi vite qu’elles le devraient, selon un test mené par des chercheurs de l’Université Fédérale de Pernambuco au Brésil et de l’Université du Michigan, qui ont examiné, de près, 32 applications pour smartphone utilisées pour configurer et contrôler les 96 appareils compatibles Wi-Fi et Bluetooth les plus vendus sur Amazon.
Les fabricants d’objets connectés ont encore beaucoup de travail en matière de cybersécurité, y compris au niveau des applications elles-mêmes, de leur connexion à des proxys cloud (généralement utilisés lors de la configuration initiale), ainsi que de la connexion sans fil et de l’authentification qui en résulte, à destination et en provenance du périphérique IoT.
C’est aussi beaucoup d’équipements à tester, c’est pourquoi les chercheurs impliqués dans cette étude ont commencé par déduire les faiblesses potentielles à l’aide d’une analyse heuristique des applications elles-mêmes.
De manière décevante, 31% des applications (ce qui correspond à 37 appareils sur 96) n’avaient aucun chiffrement, tandis que 19% avaient des clés de chiffrement hardcodées qu’un attaquant pouvait certainement récupérer via une ingénierie inverse, et ce même s’elles avaient été obfusquées !
Les chercheurs ont étayé leurs conclusions en développant des attaques de type preuve-de-concept visant cinq appareils contrôlés par quatre applications: l’application Kasa de TP-Link utilisée avec plusieurs appareils, l’application LIFX utilisée avec les lampes Wi-Fi de cette même entreprise, le WeMo IoT de Belkin, et l’application e-Control de Broadlink.
Trois n’utilisaient aucun chiffrement et trois communiquaient de manière dangereuse par le biais de messages broadcast qui auraient pu donner à un attaquant un moyen de surveiller la nature de la communication entre application et appareil en vue de la compromettre.
Sur la base de notre analyse approfondie de 4 de ces applications, nous avons constaté qu’il n’était pas difficile de tirer parti de ces faiblesses pour créer de véritables exploits. Un attaquant distant avait tout simplement à trouver un moyen d’installer cet exploit sur le smartphone de l’utilisateur, sous la forme d’une application non confidentielle ou d’un script du réseau local.
L’un des appareils vulnérables évalués avec l’application Kasa était la prise intelligente de TP-Link, qui a été vérifiée 12 000 fois sur Amazon, ce qui lui a valu un classement de 4,4 sur 5 :
TP-Link partage la même clé de chiffrement hardcodée pour tous les périphériques d’une même ligne de produits donnée et la configuration initiale du périphérique est établie via l’application sans authentification appropriée.
L’utopie des objets connectés
Il est intéressant de noter que les chercheurs ont utilisé un appareil intelligent, à savoir l’application Nest de Google, pour illustrer comment la sécurité des objets connectés pouvait être mis en œuvre (si l’utilisateur applique de son côté bien sûr sa propre sécurité de base), par exemple en effectuant toute la configuration sécurisée avec le protocole SSL/TLS au niveau du cloud ou via le Wi-Fi avec WPA (Nest présente l’avantage de disposer d’un écran pour aider à configurer, ce qui n’est pas le cas de nombreux autres objets connectés).
Pour résumer le test, la moitié des applications ne sont pas sécurisées de différentes manières. Il est clair que certains fournisseurs sont meilleurs que d’autres, et cette impression est renforcée par le manque de réponses reçues par les fabricants concernés lors du test approfondi de ces cinq appareils.
Les auteurs ont écrit :
Aucun d’entre eux n’a envoyé de réponse suite à nos divulgations et, autant que nous le sachions, aucun n’a pas publié de correctifs relatifs à ces vulnérabilités.
Compte tenu de la mauvaise réputation grandissante des objets connectés en matière de sécurité douteuse, cela ressemble dangereusement à la politique de l’autruche.
Billet inspiré de Half of IoT devices let down by vulnerable apps, sur Sophos nakedsecurity.