Insomni’hack 2016 : Taïaut sur l’IoT, Cryptax et Mylacoon sur la brèche

Actualités - Conférence - Posté on 05 Avr 2016 at 12:09 par Solange Belkhayat-Fuchs
Ted Eytan

Ted Eytan

La seconde couche était passée par Axelle « Cryptax » Apvrille (Fortinet). Une approche plus technique, les objets de l’Internet ayant fait l’objet d’une opération d’ingénierie inverse étant respectivement une paire de lunettes (sous Android), une brosse à dent (qui discute avec tout smartphone via une liaison BLE), et une …. Centrale d’alarme, également sous Android, laquelle a l’extrême politesse de transmettre via SMS son propre mot de passe ainsi que le numéro de téléphone de l’intéressé. Même un effacement de la « boîte de courriers sortant » ne permet de conserver le secret du mot de passe. Les « transparents » de la conférence de Cryptax peuvent être récupérés sur l’espace de stockage Fortiweb.

Melies The Bunny

Melies The Bunny

Tout comme lors de ses dernière présentations (le hack des montres Fitbit), Axelle Apvrille insiste sur les risques élevés de fuites de données personnelles. Rien n’est plus personnel qu’une brosse à dent, plus « permanent » et attaché à la personne qu’une paire de lunettes de sport…

Candid « Mylacoon » Wuees

Candid « Mylacoon » Wuees

 

 

Et de trois, avec Candid « Mylacoon » Wueest (Symantec), qui remplaçait au pied levé Sylvain Maret. Un Candid Wueest qui craignait que Cryptax ne fasse un exposé trop proche du sien. Il n’en fut rien. Les propos du chercheur étaient moins techniques, moins tactiques que stratégiques.« Le Web, explique-t-il, est devenu un monde dans lequel les attaques, le chantage à la rupture de service sont monnaie courante. Que la menace soit celle d’un cryptovirus ou d’une publication sur Pastebin, le cyber-racketeur poursuit toujours un unique but : extorquer de l’argent de victimes incapables de se défendre car techniquement dépendantes d’un outil informatique qu’elles ne maîtrisent pas, ou peu. Il est quasiment certain que cette dérive va toucher le secteur IoT. Son adoption rapide sur le marché grand public, le manque d’attention porté à l’intégration de règles de sécurité « by design », la quasi omniprésence de ces objets en relation directe avec nos habitudes de vie, tout ça en fait une cible quasi certaine des sphères techno-mafieuses ». Et de fournir quelques exemples, prouvant que la solidité de l’IoT se limite en général à celle du système de collecte de l’information, autrement dit une boîte Linux ou un Android embarqué. Plus les objets de l’Internet nous seront indispensables, plus leur compromission présentera un handicap pour ses usagers, du « soft hacking » qui exploite des fuites d’informations susceptibles d’intéresser une compagnie d’assurance (laquelle peut moduler ses primes en fonction de ces données personnelles jugées plus ou moins « à risque » (au verrouillage de l’IoT débloqué contre versement d’une rançon versée en Bitcoin).

Laisser une réponse