Montres connectées : un maillon faible de la sécurité IT ?
HP attire l’attention sur de multiples failles de sécurité identifiées dans dix modèles de montres connectées. Tour d’horizon de cette chasse aux bugs.
Insuffisance des fonctions d’autorisation et d’authentification des utilisateurs, manque de chiffrement lors du transport de données, interfaces de commande et d’administration vulnérables aux attaques, mises à jour du firmware transmises en clair… Autant d’éléments qui mettent en question la sécurité des montres connectées.
Ce constat pour le moins alarmant, HP l’a établi dans le cadre d’une série d’études consacrées à l’Internet des objets.
A un premier rapport global (« Internet of Things Research Study ») publié en 2014 succède ce volet – document PDF, 5 pages – dédié aux smartwatchs. Dix modèles ont été testés – pour partie manuellement, ainsi qu’avec des outils automatisés – afin d’évaluer leur capacité à stocker et à sécuriser des données sensibles.
HP, qui a basé ses expérimentations sur l’Internet of Things Top 10 défini par l’OWASP (« Open Web Application Security Project »), estime que malgré l’étendue de l’offre actuelle, cet échantillon fournit un bon indicateur du niveau global de sécurité actuel des montres connectées.
La conclusion se rapproche de celle dressée en 2014 avec l’Internet des objets : à mesure que les smartwatchs gagnent en popularité, elles remplissent de nouveaux usages en interconnexion avec d’autres produits connectés… et deviennent une cible d’autant plus prisée des pirates informatiques.
Jason Schmitt, directeur général de l’activité Fortify au sein de l’entité HP Security, résume : « Avec l’accélération de l’adoption des smartwatchs, cette plate-forme va devenir bien plus attrayante pour tous ceux qui voudraient en faire une utilisation frauduleuse. Il devient nécessaire de prendre des précautions lors de la transmission des données personnelles ou du raccordement de ces équipements aux réseaux d’entreprise. »
Sur les dix montres testées, aucune ne gérait l’authentification à deux facteurs via son interface sur téléphone mobile gérant l’authentification à deux facteurs. De même, pas une seule n’était verrouillée après un certain nombre de tentatives infructueuses de saisie du mot de passe.
Sur ce dernier point, la politique des fabricants est souvent trop laxiste : deux des montres passées au crible ont accepté des mots de passe composés uniquement de chiffres. Sur une troisième, la longueur du mot de passe n’était limitée qu’à 8 caractères alphanumériques, que ce soit sur l’interface cloud ou sur l’application mobile.
Le temps des failles
Concernant le chiffrement, toutes les smartwatchs sondées exploitent les protocoles SSL/TLS… mais pas toujours dans leurs dernières révisions. Si bien que quatre sur dix sont vulnérables à l’attaque POODLE, qui permet d’intercepter du trafic chiffré entre un client et un serveur.
Les interfaces elles-mêmes sont souvent mal sécurisées. Dans trois cas sur dix, elles présentent des risques d’énumération de comptes utilisateurs. C’est-à-dire l’identification de comptes utilisateurs valides grâce aux informations reçues via les mécanismes de réinitialisation des mots de passe.
Plus insolite : sur l’un des quatre modèles disposant du Wi-Fi en complément au Bluetooth, HP a repéré un serveur DNS… qui peut être exploité dans le cadre d’attaques par déni de service (DoS).
La plupart des fabricants ne prennent pas non plus toutes leurs précautions au niveau du firmware. Dans 7 cas sur 10, les mises à jour sont transmises en clair, bien que certaines soient protégées par signature, évitant théoriquement l’installation d’un micrologiciel contaminé.
HP note enfin qu’une montre connectée sur deux ne permet pas de mettre en place un écran de verrouillage ou un code PIN pour y empêcher l’accès en cas de perte ou de vol. Deux modèles peuvent même être appairées à un smartphone tiers tout en étant encore associées au smartphone de leur propriétaire.
Quelles mesures prendre du côté des utilisateurs pour limiter les risques ? En premier lieu, ne pas activer les fonctions de contrôle d’accès sensibles comme le domicile ou un véhicule, sauf s’il existe un mécanisme d’autorisation réellement performant.
En entreprise, on vérifiera la bonne implémentation de TLS tout en adoptant une politique de mots de passe forts additionnée, si possible, de l’authentification forte, voire d’applications développées en interne.
Crédit photo : Anna Hoychuk – Shutterstock.com