Avec l’Internet des Objets, la maison connectée sécurisée n’existe pas. Ce n’est pas moi que l’affirme mais Hewlett Packard. HP annonce que ceci est d’autant plus vrai que le système propose un accès web ou mobile. Le maillon faible est souvent celle que vous avez ouverte vous même en croyant apporter un peu de simplicité d’utilisation: votre mot de passe. Ce maillon faible sera alors utilisé par les pirates qui souhaitent s’introduire sur les systèmes peu ou mal sécurisés des services de l’Internet des Objets.
L’étude de HP, datée de fin 2014 et concernant l’Internet des objets, a pour l’occasion analysé 10 systèmes classiques utilisés pour gérer la sécurité de la maison. Ne cherchez pas à identifier ces systèmes, pour ne pas créer de panique (ou de procès), le rapport ne les cite pas. Le rapport indique que: “Dans nos perpétuelles recherches, nous continuons à voir des lacunes importantes dans les domaines de l’authentification et l’autorisation causées par des interfaces cloud et mobiles non sécurisés.” Rien de très gai pour les utilisateurs de ces systèmes qui pensaient apporter un peu de sécurité dans leurs foyers. Au lieu de cela, ils laissent une porte grande ouverte à qui veut investir les lieux.
L’étude a révélé que :
- L’ensemble des 10 systèmes ont été vulnérables à des attaques de type “account harvesting”. Ce terme se réfère à la technique d’attaque ou les activités de l’accaparement d’identifiants d’utilisateurs réels y compris avec des mots de passe pour accéder à des systèmes cibles à des fins illégales ou malveillantes. Dans le cas présent cela consiste tout simplement à laisser les attaquants continuer à deviner les identifiants jusqu’à ce qu’ils y parviennent. Une fois connectés sur le site web ou bien via l’application mobile ils ont tout le loisir d’accéder au système qui régit la maison.
- L’ensemble des 10 systèmes autorisent l’utilisation de mots de passe faciles à deviner. Le fameux mot de passe “12345” pouvait être utilisé sur tous les sites.
- Aucun des 10 systèmes n’avait mis en place des systèmes de verrouillage des comptes en cas d’attaque
- 7 systèmes sur 10 avaient des problèmes graves avec leurs mises à jour logicielles.
- 9 systèmes sur 10 ne proposaient pas d’une option d’authentification à deux facteurs.
- 2 systèmes permettaient le streaming vidéo localement sans authentification.
- 5 systèmes sur 10 implémentaient des configurations impropres ou de SSL/TLS (cryptage de la données)
- 5 systèmes sur 10 ont une application mobile trop conciliante avec les attaques: avec ces applications mobiles, des identifiants valides peuvent être trouvés via les messages et informations reçues des mécanismes de gestion des mots de passes perdus ou de la saisie des identifiants.
«Le plus grand souci est le fait que nous étions en mesure de rentrer dans tous les 10 systèmes en employant simplement de la force brutale, ce qui signifie qu’ils avaient le tiercé gagnant de Fail (noms d’utilisateur énumérables, faible politique de mot de passe, et aucun verrouillage de compte), ce qui signifie que nous pouvions regarder la vidéo de surveillance domestique à distance, », dit le rapport.
Le rapport conclut : «Nous pouvons nous attendre à voir plus de choses de ce style dans la sphère de l’IdO précisément en raison de la complexité de la fusion du réseau, des applications, mobile, et des composants de cloud dans un seul système.”
Petit message aux industriels et start-ups de l’IoT: ne négligez pas la sécurité de votre solution. Intégrez la comme contrainte dans la création de votre offre, elle sera par la suite une fidèle alliée et un garant de votre réputation.
Petit message aux particuliers: faites une recherche sur Internet, tout le monde vous le dira, la première chose à faire lorsque vous confiez quelque chose d’important à un service accessible via Internet est la sécurisation de votre identifiant et de votre mot de passe. Il est extrêmement important de comprendre que pour éviter que votre compte soit piraté, il vaut lui donner toutes les chances de résister aux attaques. Il faut pour cela utiliser un mot de passe fort pour qu’il ne puisse pas être facilement piraté. Mélangez des lettres minuscules, des lettre majuscules, des chiffres, caractères de ponctuation et des caractères accentués. Tentez d’utiliser un mot de passe long également (au moins 12 caractères). Sur cette partie vous avez la main. Ce serait dommage de ne pas donner du fil à retordre aux attaques.
HP termine son étude en indiquant pudiquement que:
Cette recherche ne vise pas à freiner cet enthousiasme, mais plutôt à informer les utilisateurs que ces capacités s’accompagnent de risques, et qu’il est dans l’intérêt de tous de comprendre ces risques avant d’activer ces systèmes.
Source : CE Pro
D’après cet article le gros des failles de sécurité vient de mauvaise s implémentation des règles basiques de sécurisation. Le problème ne vient donc pas des solutions de smart home mais de la manière dont elles ont été mises en oeuvre.
Je suis régulièrement surpris de voir sur des installations sur lesquelles j’interviens, des caméras pour lesquelles il n’y a pas de mot de passe ou bien les mots de passe par défaut… Ca n’est quand même pas bien compliqué…
Bonjour Techologis,
En effet les règles de sécurisations basiques ne semblent pas avoir été appliquées. C’est bien dommage car elles ne sont pas ‘si coûteuses’ que ça à mettre en place. Le côté positif à cela c’est que la correction de la sécurisation est tout à fait faisable.
[…] Avec l'Internet des Objets, la maison connectée sécurisée n'existe pas. Ce n'est pas moi que l'affirme mais Hewlett Packard. HP annonce que ceci est d'autant plus vrai que le système propose un accès web ou mobile. Le maillon faible est souvent celle que vous avez ouverte vous même en croyant apporter un peu de simplicité d'utilisation: votre mot de passe. Ce maillon faible sera alors utilisé par les pirates qui souhaitent s'introduire sur les systèmes peu ou mal sécurisés des services de l'Internet des Objets. […]