Fortify est formel : bien que menées sur un échantillon restreint de produits, ses expérimentations suffisent à illustrer l’incompatibilité actuelle entre adoption des objets connectés et préservation de la vie privée.
La branche sécurité de HP a étudié dix appareils, dont un téléviseur, une webcam, un thermostat intelligent, une balance, une alarme domestique et une serrure électronique. Elle n’en cite ni les marques, ni les modèles, mais assure avoir déniché plusieurs centaines de failles susceptibles d’entraîner l’accès à des données personnelles par des tiers non autorisés.
Premier écueil : l’absence de chiffrement des communications réseau, avérée dans 70% des cas. Presque autant d’objets connectés – 60% en l’occurrence – sont liés à une interface Web insuffisamment sécurisée, vulnérable notamment aux attaques de type cross-site scripting (XSS, permettant d’injecter du code pour déclencher des actions particulières).
Huit produits sur les dix examinés présentent des défauts dans la gestion des mots de passe. Ces derniers sont souvent mal protégés, insuffisamment complexes par défaut ou encore acceptés quelle que soit leur force (des chaînes de caractères comme « 1234 » étant admises). Certains sont aussi exposés à un vol par exploitation d’une faille dans le mécanisme de récupération (« mot de passe perdu ») ou encore réutilisés automatiquement dans l’application mobile éventuellement liée à l’objet connecté. Enfin, dans 60% des cas, les téléchargements de mises à jour logicielles ne sont pas sécurisés.
Autant de constats alarmants si l’on considère que la quasi-totalité des appareils (90% dans l’étude de Fortify) collectent au moins un type d’information personnelle, souvent stockée dans le cloud. Le phénomène risque même de s’accentuer avec la multiplication attendue des objets connectés après la prise de position de grands groupes high-tech comme Apple – et son écosystème HomeKit – ou Google – autour d’Android.
Le public manifeste une certaine connaissance des enjeux de sécurité inhérents au développement des objets connectés. Leurs réserves sur cette question se sont illustrées à plusieurs reprises depuis le début de l’année, tout particulièrement en France, dans une enquête Havas Media, puis dans le Baromètre de l’innovation établi par BVA et Syntec Numérique. Les sondés sont nombreux à se dire favorables à un dispositif implémenté « à la source » ; c’est-à-dire sur les smartphones et les tablettes, pour s’assurer que ces terminaux contrôlant les objets connectés ne puissent être effectivement utilisés que par leurs propriétaires.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des montres connectées ?
Crédit photo : Alexei Tacu – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…