Cadeaux peu sûrs: de faibles paramètres de mot de passe rendent les appareils IoT vulnérables aux attaques
Publié le 29/11/2017 Dans Belgique
Imaginons que vous vouliez surprendre vos enfants en décidant de leur acheter un fantastique véhicule d’espionnage intelligent sans fil, piloté par une appli – en fait une caméra d’espionnage sur roues, reliée au wifi et gérée via une application mobile. Vraiment un cadeau formidable, capable non seulement de se déplacer, mais aussi de prendre des photos, d’enregistrer des vidéos, voire de lire de l’audio à distance grâce à un haut-parleur intégré. L’idéal pour vous plonger dans l’ambiance des fêtes. Mais quelques jours après l’achat du véhicule, vous commencez subitement à remarquer que quelque chose ne va pas et que le véhicule ne répond plus aux commandes. L’appareil semble piloter par quelqu’un d’autre, il enregistre des vidéos quand vous ne le voulez pas et sa batterie se décharge à une vitesse inattendue. Que se passe-t-il? Il y a fort à parier que vous avez acheté un cadeau vulnérable et non sûr.
Les appareils intelligents connectés à l’Internet sont considérés en général comme une manière très pratique de nous simplifier la vie. Mais dans quelle mesure leur utilisation est-elle sûre du point de vue de la cyber-sécurité? En 2015, des chercheurs de Kaspersky Lab ont décidé de se pencher sur la gravité de la menace induite par l’Internet of Things (IoT, l’Internet des objets). Les résultats étaient préoccupants, de sorte que, 2 ans plus tard, ils ont mené de nouvelles recherches sur le sujet. Parmi 8 appareils IoT choisis au hasard – allant d’un fer à repasser intelligent à un véhicule d’espionnage intelligent – la moitié pouvaient être piratés en raison de paramètres de mot de passe faibles. En outre, il est apparu que seul un appareil était sûr et répondait aux exigences des chercheurs.
En principe, les appareils IoT sont dotés d’une connexion réseau, et équipés de technologies intégrées leur permettant de communiquer entre eux ou avec l’environnement externe. Vu le grand nombre et la diversité des appareils disponibles, l’IoT est devenu une cible attrayante pour les cybercriminels. Rappelons notamment les attaques DDoS record de 2016 qui avaient été lancées avec l’aide d’un énorme botnet composé de routeurs, caméras IP, imprimantes et autres appareils. En parvenant à pirater des appareils IoT, les criminels peuvent faire chanter des gens ou les espionner. D’autres vecteurs peuvent même être encore plus dangereux. Vos appareils de réseau domestique peuvent par exemple être utilisés pour déployer des activités illégales, ou un cybercriminel qui a obtenu l’accès à un appareil IoT peut espionner le propriétaire de celui-ci, le faire chanter et lui extorquer de l’argent. L’appareil infecté peut également tomber facilement en panne, même si c’est évidemment le moindre des problèmes en l’occurrence.
Sachant cela, les chercheurs de Kaspersky Lab ont essayé de découvrir si les rapports sur des produits « IoT » intelligents et les incidents qui se sont produits ont changé la situation sur le plan de la sécurité. Pour y parvenir, ils ont analysé à nouveau des appareils intelligents choisis au hasard, à savoir un chargeur intelligent, une voiture jouet pilotée par une appli, une balance intelligente, un aspirateur intelligent, un fer à repasser intelligent, une caméra IP, une smartwatch et une smart home hub. Les résultats ont été préoccupants: parmi les 8 appareils étudiés, un seul répondait aux exigences de sécurité des chercheurs. Plus grave encore, la moitié des appareils pouvaient être piratés et utilisés de manière abusive en raison d’un manque de vigilance du fournisseur au niveau des paramètres de mot de passe. Songeons dans ce cadre à l’utilisation d’un mot de passe par défaut et à l’absence de possibilité de modifier ce mot de passe, alors que, dans certains cas, le mot de passe était le même pour tous les appareils de l’assortiment des produits.
“Chez Kaspersky Lab, nous suivons de très près la problématique liée à la cyber-sécurité des appareils intelligents depuis des années déjà . Nous voyons à présent que différentes mentions sur des produits « IoT » et la vigilance accrue de fournisseurs ont aidé à faire diminuer le nombre des appareils non sûrs. Néanmoins, le problème n’est pas encore résolu et des appareils intelligents peuvent encore causer des dommages à leurs propriétaires. Cela démontre qu’il reste encore beaucoup de travail à ce niveau pour les sociétés de cyber-sécurité et les fournisseurs d’appareils connectés à l’Internet", fait remarquer Martijn van Lom, General Manager Kaspersky Lab Benelux
Les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prendre les mesures suivantes pour se prémunir contre l’achat d’appareils intelligents vulnérables:
1. Avant d’acheter un appareil IoT, recherchez sur l’Internet des actualités sur d’éventuelles failles de sécurité. L’Internet des objets est actuellement un sujet très à la mode, et de nombreux chercheurs sont activement occupés à dépister des problèmes de sécurité dans ce genre de produits, depuis les baby-phones jusqu’aux fusils pilotés par appli. Il y a de grandes chances que l’appareil que vous allez acheter ait déjà été examiné par des chercheurs en sécurité. Souvent, il est possible de découvrir si un correctif a été sorti entretemps pour les problèmes détectés dans l’appareil.
2. Il n’est pas toujours judicieux d’acheter les produits les plus récents, qui viennent d’être lancés sur le marché. Outre les bogues classiques que l’on trouve fréquemment dans de nouveaux produits, le risque est plus grand de rencontrer des problèmes de sécurité dans des appareils récemment commercialisés, qui n’ont pas encore été découverts par les spécialistes en sécurité. Le meilleur choix consiste à acheter des produits qui ont déjà plusieurs mises à jour logicielles différentes à leur actif.
3. Au moment d’envisager quelle partie de votre vie vous voulez rendre un peu plus intelligente, tenez compte des risques pour la sécurité. Si vous avez de nombreux biens de valeur matérielle à la maison, il peut être opportun d’installer un système d’alarme professionnel pour remplacer ou compléter votre système d’alarme existant commandé par une appli; ou configurez le système existant de sorte que les points faibles potentiels ne puissent pas influencer son fonctionnement.
Afin de maîtriser toutes les menaces, Kaspersky Lab a sorti une version bêta de sa solution pour la « maison intelligente » et l’Internet des objets : le Kaspersky IoT Scanner. Cette application gratuite pour la plate-forme Android analyse le réseau domestique wifi et informe l’utilisateur sur les appareils qui y sont reliés et leur niveau de sécurité.
Les appareils intelligents connectés à l’Internet sont considérés en général comme une manière très pratique de nous simplifier la vie. Mais dans quelle mesure leur utilisation est-elle sûre du point de vue de la cyber-sécurité? En 2015, des chercheurs de Kaspersky Lab ont décidé de se pencher sur la gravité de la menace induite par l’Internet of Things (IoT, l’Internet des objets). Les résultats étaient préoccupants, de sorte que, 2 ans plus tard, ils ont mené de nouvelles recherches sur le sujet. Parmi 8 appareils IoT choisis au hasard – allant d’un fer à repasser intelligent à un véhicule d’espionnage intelligent – la moitié pouvaient être piratés en raison de paramètres de mot de passe faibles. En outre, il est apparu que seul un appareil était sûr et répondait aux exigences des chercheurs.
En principe, les appareils IoT sont dotés d’une connexion réseau, et équipés de technologies intégrées leur permettant de communiquer entre eux ou avec l’environnement externe. Vu le grand nombre et la diversité des appareils disponibles, l’IoT est devenu une cible attrayante pour les cybercriminels. Rappelons notamment les attaques DDoS record de 2016 qui avaient été lancées avec l’aide d’un énorme botnet composé de routeurs, caméras IP, imprimantes et autres appareils. En parvenant à pirater des appareils IoT, les criminels peuvent faire chanter des gens ou les espionner. D’autres vecteurs peuvent même être encore plus dangereux. Vos appareils de réseau domestique peuvent par exemple être utilisés pour déployer des activités illégales, ou un cybercriminel qui a obtenu l’accès à un appareil IoT peut espionner le propriétaire de celui-ci, le faire chanter et lui extorquer de l’argent. L’appareil infecté peut également tomber facilement en panne, même si c’est évidemment le moindre des problèmes en l’occurrence.
Sachant cela, les chercheurs de Kaspersky Lab ont essayé de découvrir si les rapports sur des produits « IoT » intelligents et les incidents qui se sont produits ont changé la situation sur le plan de la sécurité. Pour y parvenir, ils ont analysé à nouveau des appareils intelligents choisis au hasard, à savoir un chargeur intelligent, une voiture jouet pilotée par une appli, une balance intelligente, un aspirateur intelligent, un fer à repasser intelligent, une caméra IP, une smartwatch et une smart home hub. Les résultats ont été préoccupants: parmi les 8 appareils étudiés, un seul répondait aux exigences de sécurité des chercheurs. Plus grave encore, la moitié des appareils pouvaient être piratés et utilisés de manière abusive en raison d’un manque de vigilance du fournisseur au niveau des paramètres de mot de passe. Songeons dans ce cadre à l’utilisation d’un mot de passe par défaut et à l’absence de possibilité de modifier ce mot de passe, alors que, dans certains cas, le mot de passe était le même pour tous les appareils de l’assortiment des produits.
“Chez Kaspersky Lab, nous suivons de très près la problématique liée à la cyber-sécurité des appareils intelligents depuis des années déjà . Nous voyons à présent que différentes mentions sur des produits « IoT » et la vigilance accrue de fournisseurs ont aidé à faire diminuer le nombre des appareils non sûrs. Néanmoins, le problème n’est pas encore résolu et des appareils intelligents peuvent encore causer des dommages à leurs propriétaires. Cela démontre qu’il reste encore beaucoup de travail à ce niveau pour les sociétés de cyber-sécurité et les fournisseurs d’appareils connectés à l’Internet", fait remarquer Martijn van Lom, General Manager Kaspersky Lab Benelux
Les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prendre les mesures suivantes pour se prémunir contre l’achat d’appareils intelligents vulnérables:
1. Avant d’acheter un appareil IoT, recherchez sur l’Internet des actualités sur d’éventuelles failles de sécurité. L’Internet des objets est actuellement un sujet très à la mode, et de nombreux chercheurs sont activement occupés à dépister des problèmes de sécurité dans ce genre de produits, depuis les baby-phones jusqu’aux fusils pilotés par appli. Il y a de grandes chances que l’appareil que vous allez acheter ait déjà été examiné par des chercheurs en sécurité. Souvent, il est possible de découvrir si un correctif a été sorti entretemps pour les problèmes détectés dans l’appareil.
2. Il n’est pas toujours judicieux d’acheter les produits les plus récents, qui viennent d’être lancés sur le marché. Outre les bogues classiques que l’on trouve fréquemment dans de nouveaux produits, le risque est plus grand de rencontrer des problèmes de sécurité dans des appareils récemment commercialisés, qui n’ont pas encore été découverts par les spécialistes en sécurité. Le meilleur choix consiste à acheter des produits qui ont déjà plusieurs mises à jour logicielles différentes à leur actif.
3. Au moment d’envisager quelle partie de votre vie vous voulez rendre un peu plus intelligente, tenez compte des risques pour la sécurité. Si vous avez de nombreux biens de valeur matérielle à la maison, il peut être opportun d’installer un système d’alarme professionnel pour remplacer ou compléter votre système d’alarme existant commandé par une appli; ou configurez le système existant de sorte que les points faibles potentiels ne puissent pas influencer son fonctionnement.
Afin de maîtriser toutes les menaces, Kaspersky Lab a sorti une version bêta de sa solution pour la « maison intelligente » et l’Internet des objets : le Kaspersky IoT Scanner. Cette application gratuite pour la plate-forme Android analyse le réseau domestique wifi et informe l’utilisateur sur les appareils qui y sont reliés et leur niveau de sécurité.