05-10-2016, 06:49
<t>Thermostat, serrure, caméra… Tous ces objets connectés pourraient se banaliser dans quelques années. Mais pour l’instant, leur niveau de sécurité est très faible. Des hackers se sont fait une joie de le prouver.<br/>
<br/>
Chaque été, à Las Vegas des hackers se réunissent (trop souvent confondus avec les pirates) et s’en donnent à cœur joie. Les meilleurs d’entre eux ont animé des conférences à la DEF CON, la convention hacker la plus connue à travers le monde. Et cette édition a confirmé que les fabricants d’objets connectés ne se soucient pas vraiment de la sécurité de leur solution. Leur priorité étant l’ergonomie ou la fonctionnalité.<br/>
<br/>
Presque 50 failles ont été découvertes ou présentées lors de conférences ou d’ateliers. Elles concernent 23 appareils proposés par 21 marques. Au total, en deux ans, l’IoT Village de la DEF CON a mis en lumière 113 vulnérabilités !<br/>
Les plus mauvais élèves sont les serrures et cadenas connectés. Les modèles de Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Lagute, Okidokeys ou Danalock comportent tous des failles. Officiellement, elles vous permettent d’ouvrir vos portes sans utiliser de clé physique. Par le biais d’un protocole de communication (Bluetooth, Wi-Fi…), elles se déverrouillent à l’aide d’un simple smartphone. Dans la réalité, leur niveau de sécurité étant tellement faible, voire absent, elles peuvent être aisément piratées et facilitées ainsi des cambriolages.<br/>
<br/>
Le chercheur qui s’est attaqué à la serrure d’August (modèle ASL-01) a démontré qu’il était possible de modifier un accès « invité en un compte « administrateur » et gérer le cylindre au détriment de son propriétaire qui ne peut plus entrer chez lui. Pire, si vous achetez un modèle d’occasion, le précédent propriétaire peut savoir où vous habitez et prendre le contrôle de votre domicile à distance. Ce cylindre connecté n’est heureusement pas compatible avec la plupart des serrures françaises, et ne répond pas non plus aux normes européennes.<br/>
<br/>
Même constat inquiétant avec les thermostats. Andrew Tierney et Ken Munro, deux chercheurs travaillant pour la société de sécurité informatique Pen Partners Test, ont démontré qu’il était possible de configurer les paramètres par le biais d’une carte SD. Imaginez ce thermostat réglé sur 35 °C en pleine canicule ! De quoi avoir des sueurs froides d’autant que l’action des hackers a été facilitée par le fait que l’appareil n’intègre aucun contrôle de sécurité. Il faut tout de même avoir un accès physique pour l’infecter.<br/>
<br/>
Toutes ces failles s’expliquent principalement par une mauvaise implémentation de solutions de protection, mais surtout par une sécurité très faible, voire inexistante. Et cette situation n’est pas propre aux fabricants étrangers.<br/>
<br/>
Il faut malgré tout rester optimiste. Chaque nouvelle vague technologique apporte son lot de vulnérabilités.<br/>
La ceinture de sécurité, inventée à la fin du 19e siècle, n’est devenue obligatoire en France qu’en 1973. Dans le numérique, ces cycles innovation-sécurisation sont cela dit accélérés.</t>
<br/>
Chaque été, à Las Vegas des hackers se réunissent (trop souvent confondus avec les pirates) et s’en donnent à cœur joie. Les meilleurs d’entre eux ont animé des conférences à la DEF CON, la convention hacker la plus connue à travers le monde. Et cette édition a confirmé que les fabricants d’objets connectés ne se soucient pas vraiment de la sécurité de leur solution. Leur priorité étant l’ergonomie ou la fonctionnalité.<br/>
<br/>
Presque 50 failles ont été découvertes ou présentées lors de conférences ou d’ateliers. Elles concernent 23 appareils proposés par 21 marques. Au total, en deux ans, l’IoT Village de la DEF CON a mis en lumière 113 vulnérabilités !<br/>
Les plus mauvais élèves sont les serrures et cadenas connectés. Les modèles de Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Lagute, Okidokeys ou Danalock comportent tous des failles. Officiellement, elles vous permettent d’ouvrir vos portes sans utiliser de clé physique. Par le biais d’un protocole de communication (Bluetooth, Wi-Fi…), elles se déverrouillent à l’aide d’un simple smartphone. Dans la réalité, leur niveau de sécurité étant tellement faible, voire absent, elles peuvent être aisément piratées et facilitées ainsi des cambriolages.<br/>
<br/>
Le chercheur qui s’est attaqué à la serrure d’August (modèle ASL-01) a démontré qu’il était possible de modifier un accès « invité en un compte « administrateur » et gérer le cylindre au détriment de son propriétaire qui ne peut plus entrer chez lui. Pire, si vous achetez un modèle d’occasion, le précédent propriétaire peut savoir où vous habitez et prendre le contrôle de votre domicile à distance. Ce cylindre connecté n’est heureusement pas compatible avec la plupart des serrures françaises, et ne répond pas non plus aux normes européennes.<br/>
<br/>
Même constat inquiétant avec les thermostats. Andrew Tierney et Ken Munro, deux chercheurs travaillant pour la société de sécurité informatique Pen Partners Test, ont démontré qu’il était possible de configurer les paramètres par le biais d’une carte SD. Imaginez ce thermostat réglé sur 35 °C en pleine canicule ! De quoi avoir des sueurs froides d’autant que l’action des hackers a été facilitée par le fait que l’appareil n’intègre aucun contrôle de sécurité. Il faut tout de même avoir un accès physique pour l’infecter.<br/>
<br/>
Toutes ces failles s’expliquent principalement par une mauvaise implémentation de solutions de protection, mais surtout par une sécurité très faible, voire inexistante. Et cette situation n’est pas propre aux fabricants étrangers.<br/>
<br/>
Il faut malgré tout rester optimiste. Chaque nouvelle vague technologique apporte son lot de vulnérabilités.<br/>
La ceinture de sécurité, inventée à la fin du 19e siècle, n’est devenue obligatoire en France qu’en 1973. Dans le numérique, ces cycles innovation-sécurisation sont cela dit accélérés.</t>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
