La DEF CON, salon dédié au piratage informatique dispose d'une section objet connecté. Les résultats des recherches ne sont pas du tout rassurants.
La DEF CON est un salon consacré à la cybersécurité. Il s'est tenu en août dernier à Las Vegas. Les rapports des chercheurs et des divers participants apparaissent maintenant sur la toile. Cette année, il y avait bien sûr toute une section dédiée aux objets connectés. Malheureusement, les fabricants ont encore beaucoup d'amélioration à faire pour ne pas subir les attaques des pirates informatiques.
Sur les objets connectés mis entre les mains de joyeux hackers, 23 d'entre eux fabriqués par 21 entreprises différentes comprennent 47 vulnérabilités. Cela fait beaucoup, surtout quand on sait que les serrures connectées testées ne font pas mieux que les autres produits comme les réfrigérateurs, les thermostats et un fauteuil roulant.
Un constat d'autant plus dur que les failles détectées n'ont pas lieu d'être puisque certaines relèvent de négligences dans la conception des systèmes de sécurité. Les documents de présentation émanant de la DEF CON évoque notamment l'utilisation de mots de passe en « texte bruts », c'est-à-dire qu'ils comprennent des lettres non chiffrés, ou programmés en dur pour faire des injections de commande et gérer la mémoire tampon.
La conception pointée du doigt à la DEF CON
Les serrures et des cadenas connectés des vendeurs Quicklock, iBluelock, Ceomate, et d'autres sont sensibles au reniflage réseau, une technique qui consiste à enregistrer et analyser le contenu transmis par un ordinateur ou un objet connecté, et au rejeu, le fait de répéter une commande à rebours pour déclencher un événement. Ainsi les chercheurs ont pu facilement trouver les accès pour déverrouiller les loquets.
D'autres produits testés lors de la DEF CON montrent des vulnérabilités dangereuses pour l'utilisateur. Par exemple, un fauteuil roulant qui peut être contrôlé à distance ou un thermostat de la marque Trane qui utilisent un protocole « texte brut » simple à outrepasser résultant sur des actions malveillantes comme le fait de faire surchauffer les pièces, causer des courts-circuits dans les fours, ou encore de geler les tuyaux d'eau. Un système de gestion de panneaux solaire peut également être éteint ou servir de porte d'accès pour surveiller les communications des habitants d'une maison.
Une incitation à l'amélioration
Pour les chercheurs et les hackers, il ne s'agit pas seulement de faire « joujou », mais de montrer à quel point certains constructeurs négligent la sécurité de leurs clients. A la DEF CON de Las Vegas, il s'agit seulement de la deuxième édition de « l'IoT Village », l'espace dédié aux objets connectés pour le grand public et les professionnels. Résultat, 113 failles de sécurité ont été trouvées en deux ans.
Les guides de sécurité devraient alors fleurir dans les années qui viennent. Les effets sur l'image de marque et les procès qui peuvent en découler risquent fort de convaincre les acteurs du marché à redoubler d'efforts pour concevoir des produits connectés plus sûr.
- Partager l'article :
Merci pour cet article trés éclairant. cet article fait référence à un rapport »Le rapport émanant de la DEF CON évoque notamment ». Comment peut-on y avoir accès dans sa globalité?
merci par avance
Bonjour, il s’agit d’un abus de langage de ma part. Il s’agit en réalité des documents de présentation que l’on peut trouver ici .
Cordialement,
Merci beaucoup