L’Internet des objets est sûr ! (Mantra)

Actualités - Hack - Posté on 17 Nov 2015 at 10:34 par cnis-mag
crédit : seantyler

crédit : seantyler

Les amateurs de mantras hypnotiques apprécieront cette nouvelle dévoilée par Softpedia, et narrant la déconvenue des forces de police US (dont certaines unités du Swat, les forces d’intervention de la police des Etats Unis) lorsque ceux-ci ont appris que leur caméras portatives étaient, en partie, infectées par le virus-ver Conficker. Ce vieux briscard de l’infection semble s’être glissé dans les « master » de l’entreprise Martel, fabricant d’équipements électroniques tactiques. Le raccordement de la caméra à un ordinateur mal protégé provoque alors quelques surprises sur l’ensemble du réseau.

Un tout autre exemple de vulnérabilité épique est donnée par Brian Krebs, lequel revient sur une série de vulnérabilités très connues qui ont affecté les routeurs WiFi de la société Ubiquity, provoquant la bagatelle de plus d’un demi-million de trous de sécurité dans le monde. Généralement, les trous de sécurité les plus médiatisés affectent la partie WiFi du routeur. Laquelle n’est exploitable que dans le cadre très restreint d’une attaque ciblée, puisqu’il faut que l’adversaire se trouve à portée dudit routeur. Dans le cas du défaut Ubiquity, le problème était un peu plus délicat, puisqu’il concernait une configuration par défaut d’une console d’administration distante. Un « open bar » de 600 000 points d’accès réseau.

Fuites d’informations, volontaires cette fois, chez Vizio, un fabricant de téléviseurs « intelligents ». Si intelligents, nous raconte Ars Technica, qu’il flique les habitudes de ses usagers dans le but d’en fournir des statistiques et analyses à des entreprises tierces (la chose est spécifiée dans le contrat d’utilisation de l’appareil). Informations intrusives qui, précise l’article, s’étend à d’autres appareils reliés au système vidéo (tablette, téléphone etc.). Cet ensemble de« non-personal identifiable information (that) may be shared with select partners » inquiète d’autant plus que cette prétendue anonymisation des données est un leurre. Une fois le numéro IP extrait, donc indirectement la région dans laquelle vit le client ainsi surveillé, il est excessivement simple d’y accoler une identité. D’ailleurs, et bien que nos confrères de Ars Technica ne le mentionnent pas dans leur article, la collecte des données d’usage collectées par les téléviseurs Vizio a fait l’objet d’un travail de reverse par le laboratoire d’Avast. Le système est aussi vulnérable qu’indiscret.

Il y a presque deux ans jour pour jour, le fabricant LG s’était fait épingler pour des raisons similaires. Encore n’était-il pas encore question d’un réseau de flicage s’étendant à tout un petit monde d’objets interconnectés.

Achevons le survol de cette bérézina de l’IoT avec une récente étude de Techscience portant sur 110 « apps » Android et iOS, l’archétype même de l’exploitation professionnelle des objets de l’Internet.

– 73% des appliquettes Android partagent des données personnelles, 47% des Apps iOS fournissent à des tierces parties les coordonnées géographiques des usagers

– 93% des applications Android se connectent à safemovedm.com, dont l’usage, assez mal connu, semble lié à un processus en tâche de fond

Le reste de l’étude, qui s’étale sur plus d’une dizaine de pages et autant de graphiques et tableaux précis, ne plaide pas franchement en faveur de l’usage des smartphones et de l’Internet des Objets dans son état actuel.
En France, le CNRFID, Conseil National visant au développement des cartes RFID, souhaite étendre très activement sa sphère d’influence pour y intégrer l’Internet des Objets. Mais attention, il n’est pas temps de parler de « sécurité de l’IoT »… « Les acteurs feront eux-mêmes des efforts et renforceront leurs produits avec le temps et l’évolution des techniques » expliquait en substance le Président de l’organisation à l’occasion du dernier congrès RFID. Spécialistes de la sécurité des NTIC à vos Outils, il risque d’avoir une recrudescence de boulot par les temps qui viennent … Pour l’heure, l’Internet des objets est sur… sans accent circonflexe.

Laisser une réponse