Internet des objets : portes ouvertes sur la vie privée

Clément Bohic,
Mobilité
internet-objets-vie-privee

Absence de chiffrement, interfaces d’administration vulnérables, défauts dans la gestion des mots de passe : HP déplore le manque d’implication des fabricants d’objets connectés dans la préservation des données personnelles.

Fortify est formel : bien que menées sur un échantillon restreint de produits, ses expérimentations suffisent à illustrer l’incompatibilité actuelle entre adoption des objets connectés et préservation de la vie privée.

La branche sécurité de HP a étudié dix appareils, dont un téléviseur, une webcam, un thermostat intelligent, une balance, une alarme domestique et une serrure électronique. Elle n’en cite ni les marques, ni les modèles, mais assure avoir déniché plusieurs centaines de failles susceptibles d’entraîner l’accès à des données personnelles par des tiers non autorisés.

Premier écueil : l’absence de chiffrement des communications réseau, avérée dans 70% des cas. Presque autant d’objets connectés – 60% en l’occurrence – sont liés à une interface Web insuffisamment sécurisée, vulnérable notamment aux attaques de type cross-site scripting (XSS, permettant d’injecter du code pour déclencher des actions particulières).

Huit produits sur les dix examinés présentent des défauts dans la gestion des mots de passe. Ces derniers sont souvent mal protégés, insuffisamment complexes par défaut ou encore acceptés quelle que soit leur force (des chaînes de caractères comme « 1234 » étant admises). Certains sont aussi exposés à un vol par exploitation d’une faille dans le mécanisme de récupération (« mot de passe perdu ») ou encore réutilisés automatiquement dans l’application mobile éventuellement liée à l’objet connecté. Enfin, dans 60% des cas, les téléchargements de mises à jour logicielles ne sont pas sécurisés.

Autant de constats alarmants si l’on considère que la quasi-totalité des appareils (90% dans l’étude de Fortify) collectent au moins un type d’information personnelle, souvent stockée dans le cloud. Le phénomène risque même de s’accentuer avec la multiplication attendue des objets connectés après la prise de position de grands groupes high-tech comme Apple – et son écosystème HomeKit – ou Google – autour d’Android.

Le public manifeste une certaine connaissance des enjeux de sécurité inhérents au développement des objets connectés. Leurs réserves sur cette question se sont illustrées à plusieurs reprises depuis le début de l’année, tout particulièrement en France, dans une enquête Havas Media, puis dans le Baromètre de l’innovation établi par BVA et Syntec Numérique. Les sondés sont nombreux à se dire favorables à un dispositif implémenté « à la source » ; c’est-à-dire sur les smartphones et les tablettes, pour s’assurer que ces terminaux contrôlant les objets connectés ne puissent être effectivement utilisés que par leurs propriétaires.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des montres connectées ?

Crédit photo : Alexei Tacu – Shutterstock.com

Lire aussi :

Vie privée : Facebook n’obtient pas le consentement de la justice allemande

Confidentialité Web: des traceurs dupent les gestionnaires de mots de passe des navigateurs

Publicité ciblée : Google arrête le scan des contenus sur Gmail mais change de levier

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur