Fortify est formel : bien que menées sur un échantillon restreint de produits, ses expérimentations suffisent à illustrer l’incompatibilité actuelle entre adoption des objets connectés et préservation de la vie privée.
La branche sécurité de HP a étudié dix appareils, dont un téléviseur, une webcam, un thermostat intelligent, une balance, une alarme domestique et une serrure électronique. Elle n’en cite ni les marques, ni les modèles, mais assure avoir déniché plusieurs centaines de failles susceptibles d’entraîner l’accès à des données personnelles par des tiers non autorisés.
Premier écueil : l’absence de chiffrement des communications réseau, avérée dans 70% des cas. Presque autant d’objets connectés – 60% en l’occurrence – sont liés à une interface Web insuffisamment sécurisée, vulnérable notamment aux attaques de type cross-site scripting (XSS, permettant d’injecter du code pour déclencher des actions particulières).
Huit produits sur les dix examinés présentent des défauts dans la gestion des mots de passe. Ces derniers sont souvent mal protégés, insuffisamment complexes par défaut ou encore acceptés quelle que soit leur force (des chaînes de caractères comme « 1234 » étant admises). Certains sont aussi exposés à un vol par exploitation d’une faille dans le mécanisme de récupération (« mot de passe perdu ») ou encore réutilisés automatiquement dans l’application mobile éventuellement liée à l’objet connecté. Enfin, dans 60% des cas, les téléchargements de mises à jour logicielles ne sont pas sécurisés.
Autant de constats alarmants si l’on considère que la quasi-totalité des appareils (90% dans l’étude de Fortify) collectent au moins un type d’information personnelle, souvent stockée dans le cloud. Le phénomène risque même de s’accentuer avec la multiplication attendue des objets connectés après la prise de position de grands groupes high-tech comme Apple – et son écosystème HomeKit – ou Google – autour d’Android.
Le public manifeste une certaine connaissance des enjeux de sécurité inhérents au développement des objets connectés. Leurs réserves sur cette question se sont illustrées à plusieurs reprises depuis le début de l’année, tout particulièrement en France, dans une enquête Havas Media, puis dans le Baromètre de l’innovation établi par BVA et Syntec Numérique. Les sondés sont nombreux à se dire favorables à un dispositif implémenté « à la source » ; c’est-à-dire sur les smartphones et les tablettes, pour s’assurer que ces terminaux contrôlant les objets connectés ne puissent être effectivement utilisés que par leurs propriétaires.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des montres connectées ?
Crédit photo : Alexei Tacu – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…