Archives de catégorie : IOT

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch

Craquer un mot de passe Wi-Fi WPA2 n’a jamais été aussi facile

Il n’est pas toujours facile de sécuriser un réseau domestique, même quand toutes les précautions possibles sont prises. Beaucoup de facteurs entrent en jeu et l’un d’entre eux est bien sûr le routeur. Jusqu’à présent, tout ce qu’il vous fallait était un mot de passe assez fort et un chiffrement WPA2. Mais les choses ont changé. Les chercheurs ont découvert un nouveau moyen apparemment très facile de pirater les réseaux Wi-Fi compatibles WPA/WPA2 PSK.

Cette nouvelle méthode de piratage des mots de passe Wi-Fi a apparemment été découverte par hasard : les chercheurs en sécurité travaillant sur Hashcat, un outil de craquage de mot de passe très populaire, essayaient en fait de trouver de nouvelles façons de craquer le protocole de sécurité sans fil WPA3 lorsqu’ils sont tombés sur cette nouvelle méthode WPA2. La nouvelle méthode pourrait permettre aux pirates d’obtenir la clé pré-partagée (pre-shared key, PSK) pour le Wi-Fi, ce qui leur donnerait accès au réseau. La grande différence par rapport aux méthodes précédentes est apparemment que les cybercriminels n’ont pas besoin de capturer un 4-Way Handshake complet. Au lieu de cela, la nouvelle attaque est menée sur le RSN IE (l’élément d’information réseau de sécurité robuste) d’une seule trame EAPOL.

Selon les chercheurs, l’attaquant qui communique maintenant directement avec le point d’accès n’a plus besoin qu’un utilisateur se connecte au réseau cible pour capturer ses données de connexion (ce qui était nécessaire auparavant). Cette attaque sans client apporte quelques autres avantages : plus d’éventuels mots de passe invalides, plus de trames EAPOL perdues à cause d’un point d’accès trop éloigné des cybercriminels, plus de formats de sortie spéciaux pour les données finales.

La plupart des routeurs modernes sont vulnérables

Bien que les chercheurs ne sachent pas encore avec certitudes quels fournisseurs et quels modèles de routeurs seront affectés par cette technique, les perspectives ne sont pas réjouissantes : tous les réseaux 802.11i/p/q/r avec des fonctions d’itinérance activées pourraient être sensibles à la nouvelle attaque ; par conséquent, cela affecterait la plupart des routeurs modernes. Malgré cette triste réalité, il y a deux choses que vous pouvez faire pour vous assurer de rester le plus en sécurité possible jusqu’à l’arrivée sur le marché de WPA3, qui est immunisé contre cette attaque :

Utiliser un mot de passe fort : Même avec cette attaque, le pirate devra attaquer votre mot de passe en force brute. Choisissez donc un mot de passe Wi-Fi fort, très fort. En cas de doute, vous pouvez toujours compter sur un gestionnaire de mots de passe pour faire le travail à votre place. Mettre à jour votre routeur : Mettez à jour votre routeur dès que des mises à jour sont disponibles. Si vous avez un très vieux routeur qui ne reçoit plus de mises à jour, il est recommandé d’en acheter un nouveau, au plus tard dès que les nouveaux routeurs WPA3 seront disponibles. (Par Nicole Lorenz, Avira)

backdoor, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, IOT, Mise à jour, Patch, santé

Pirater des cerveaux pour manipuler et voler des souvenirs : la technologie de base existe

Organe en perpétuelle évolution, le cerveau et son fonctionnement posent de nombreuses questions. Ainsi, les scientifiques travaillent sur la découverte du mode de création des souvenirs dans le cerveau pour pouvoir les cibler, les restaurer et les enrichir au moyen d’ implants, et les technologies nécessaires existent d’ores et déjà sous la forme de dispositifs de stimulation profonde du cerveau.

Néanmoins, à l’avenir, des cyberattaques pourraient exploiter des implants mémoriels pour voler, espionner, modifier ou contrôler des souvenirs humains, même si les menaces les plus extrêmes ne se profileront pas avant plusieurs décennies. Il existe donc, dans les logiciels et le matériel connectés, des vulnérabilités qu’il importe de traiter pour nous préparer aux menaces qui nous attendent, selon une nouvelle étude réalisée par des chercheurs de Kaspersky Lab et le Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, publiée à l’occasion du sommet annuel Kaspersky NeXT à Barcelone.

Des implants de stimulation cérébrale, utiles à la médecine, mais vulnérables aux cyberattaques.

Les chercheurs ont associé une analyse pratique et théorique afin d’explorer les vulnérabilités actuelles des implants utilisés pour la stimulation cérébrale profonde. Appelés générateurs d’impulsions implantables (IPG) ou neurostimulateurs, ces dispositifs envoient des impulsions électriques vers des cibles spécifiques dans le cerveau pour le traitement de troubles tels que la maladie de Parkinson, le tremblement essentiel, la dépression majeure ou les TOC (troubles obsessionnels compulsifs). La dernière génération en date de ces implants s’accompagne de logiciels de gestion pour les médecins comme les patients, installés sur des tablettes et smartphones professionnels. La connexion entre les différents appareils repose sur le protocole standard Bluetooth.

Les chercheurs ont établi un certain nombre de scénarios de risques existants et potentiels, dont chacun pourrait être exploité par des attaques :
· Exposition des infrastructures connectées : les chercheurs ont découvert une vulnérabilité grave et plusieurs mauvaises configurations préoccupantes dans une plate-forme de gestion en ligne très répandue parmi les équipes chirurgicales, des failles susceptibles de conduire un intrus vers des données sensibles et des procédures de traitement.

· Le transfert de données non sécurisées ou non cryptées entre l’implant, le logiciel de programmation et les réseaux associés pourrait permettre la manipulation malveillante des implants d’un patient, voire de groupes entiers de patients connectés à la même infrastructure. Il risquerait d’en résulter la modification de réglages entraînant une douleur, une paralysie ou encore le vol de données personnelles, privées et confidentielles.

· En raison de contraintes de conception, la sécurité des patients prend le pas sur celle des données. Par exemple, un implant médical doit pouvoir être contrôlé par les médecins dans les situations d’urgence, notamment lorsque le patient est hospitalisé loin de son domicile. Cela exclut l’utilisation de tout mot de passe qui ne soit pas largement connu du personnel médical. En outre, cela implique que ces implants soient dotés par défaut d’un « backdoor » (un accès dérobé).

· Comportement non sécurisé du personnel médical : des logiciels critiques conservent souvent leurs mots de passe par défaut, utilisés pour l’accès à Internet ou à des applications complémentaires téléchargées.

Des méthodes scientifiques et médicales en perpétuelle évolution, qui nécessitent un accompagnement en cybersécurité

Il est indispensable de remédier à ces vulnérabilités car les chercheurs estiment qu’au cours des prochaines décennies, des neurostimulateurs plus avancés et une compréhension plus approfondie de la formation et de la mémorisation des souvenirs dans le cerveau humain vont accélérer le développement et l’utilisation de ce type de technologies et susciter de nouvelles possibilités de cyberattaques.

Dans les cinq années à venir, des scientifiques pensent pouvoir enregistrer sous forme électronique les signaux cérébraux qui créent les souvenirs, puis les enrichir voire les réécrire avant de les réimplanter dans le cerveau. D’ici une dizaine d’années pourraient apparaître sur le marché les premiers implants commerciaux destinés à stimuler la mémoire et, dans une vingtaine d’années, la technologie pourrait avoir suffisamment progressé pour permettre une prise de contrôle poussée des souvenirs.

Parmi les nouvelles menaces qui en découleront pourrait notamment figurer la manipulation de masse de populations par l’implantation ou l’effacement de souvenirs relatifs à des événements politiques ou à des conflits, tandis que des cybermenaces « réorientées » pourraient cibler de nouvelles opportunités de cyberespionnage ou bien le vol, la suppression ou le « verrouillage » de souvenirs (par exemple pour l’extorsion d’une rançon en échange de leur déblocage).

Au sujet des résultats de l’étude, Dmitry Galov, chercheur junior en sécurité au sein de l’équipe GReAT de Kaspersky Lab, commente : « Les vulnérabilités actuelles sont à prendre au sérieux car la technologie existant aujourd’hui préfigure ce qui verra le jour à l’avenir. Même si aucune attaque visant des neurostimulateurs n’a encore été observée, il existe des faiblesses qui ne seront pas difficiles à exploiter. Il nous faut réunir les professionnels de santé, les spécialistes de la cybersécurité et les fabricants pour étudier et corriger toutes les vulnérabilités potentielles, qu’elles soient déjà visibles actuellement ou qu’elles apparaissent dans les années à venir. »

Laurie Pycroft, chercheuse doctorale au sein du Groupe de neurochirurgie fonctionnelle de l’Université d’Oxford, ajoute : « Les implants mémoriels sont une perspective bien réelle et passionnante, offrant des bienfaits considérables pour la santé. Si l’idée de pouvoir modifier et enrichir nos souvenirs à l’aide d’électrodes paraît relever de la science-fiction, elle repose sur des fondements scientifiques solides qui existent dès à présent. L’arrivée de prothèses mémorielles n’est qu’une question de temps. La collaboration afin de cerner et de traiter les risques et vulnérabilités qui arrivent, et ce alors que cette technologie est encore relativement neuve, se révèlera payante à l’avenir. »

L’étude, intitulée The Memory Market: Preparing for a future where cyber-threats target your past, est disponible ici.

Chiffrement, cryptage, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

La sécurité de l’IoT souffre encore de failles majeures

2 commentaires

Si personne ne remet en cause l’intérêt et la rapidité des progrès de l’Internet des Objets (IoT), la sécurité des objets connectés, elle, continue d’inquiéter. Il est en effet relativement simple de les pirater et les nombreuses cyberattaques récentes ont montré les dangers d’un réseau globalisé.

La transformation numérique du monde progresse, avec dans son sillage, de plus en plus d’appareils intelligents qui communiquent entre eux (y compris dans des secteurs sensibles) afin de nous faciliter la vie. Mais l’IoT a aussi des faiblesses évidentes de sécurité.

Quand des cybercriminels détectent des équipements IoT vulnérables, il leur suffit souvent d’actions basiques pour les pirater. Les moyens les plus simples demeurent l’attaque par force brute pour trouver un mot de passe ou encore l’utilisation des identifiants de connexion par défaut, configurés en mode usine. Car il est malheureusement clair que, pour des raisons de coût, de nombreux fabricants utilisent les mêmes données de connexion standards pour tous leurs appareils, au lieu de définir un mot de passe distinct pour chacun. En utilisant des Botnets récupérés sur le Darknet, il devient ainsi possible d’infecter des milliers d’équipements d’un seul coup.

Un état des lieux alarmant

La vérité, c’est que les objets connectés n’ont jamais vraiment été sûrs, et il est évident que certains risques vont s’intensifier. L’une des plus graves menaces de ces dernières années a été le Botnet Mirai, qui a provoqué des attaques DDoS massives à l’aide d’identifiants de connexion standards. Il a permis de mettre en évidence que des produits chinois bon marché, tels que des webcams, figurent parmi les équipements IoT les plus vulnérables, qui ne devraient être utilisés que dans des environnements isolés.

Depuis que le code source de Mirai a été publié, pratiquement tout le monde peut faire fonctionner son propre Botnet IoT ou réécrire le code de programmation à sa façon, ce qui a permis à de nombreuses mutations de Mirai de voir le jour.

Les autres moyens d’infecter un objet connecté étant plus sophistiqués et onéreux, ils sont moins répandus. C’est le cas par exemple de l’ingénierie inverse des firmwares ou des systèmes d’exploitation, qui requiert des connaissances techniques pointues et beaucoup de temps. Des stratégies de sécurité peuvent néanmoins s’appliquer dans ce domaine.

En finir avec les mots de passe standards

Une solution possible et efficace pour améliorer la sécurité dans l’IoT, permettre aux utilisateurs de modifier facilement leurs identifiants de connexion. Certes, cette stratégie n’aurait d’efficacité que sur les méthodes d’infiltration les plus élémentaires, mais le jeu en vaut la chandelle puisque ce sont les plus répandues.

Les fabricants pourraient ainsi « forcer » leurs clients à modifier leurs identifiants de connexion en rendant obligatoire la saisie d’un mot de passe unique et fort lors du démarrage initial de l’appareil. Les fabricants pourraient également attribuer un mot de passe unique généré aléatoirement à chaque périphérique et l’envoyer au client avec l’objet connecté.

En pratique, le changement d’identifiants de connexion limiterait nettement le nombre d’appareils vulnérables et compliquerait la tâche des hackers et bots qui essaient d’en prendre le contrôle.

Le problème des clés de chiffrement

Les fabricants peinent à concevoir des objets qui intègrent d’office des mécanismes de sécurité. Ces équipements destinés aux particuliers ou aux entreprises. C’est notamment le cas pour le chiffrement.

Dans les faits, rien n’empêche de chiffrer les données qu’un objet connecté recueille et transmet à un autre périphérique ou vers le cloud pour analyse. Il est ainsi possible de trouver de très bons conseils à propos des algorithmes. Il existe plusieurs solutions de chiffrement Open Source.

Mais c’est au niveau de la protection et de la gestion des clés de chiffrement que le bât blesse. Or, ces carences retirent toute efficacité au processus de chiffrement. Une clé mal gérée peut rendre le chiffrement inutilisable, si par exemple elle n’est pas rendue disponible dans un processus d’authentification. Le nombre de périphériques dans l’IoT exacerbe ainsi de manière exponentielle les défis du chiffrement et de la gestion des clés.

S’ajoute à cela le fait que beaucoup d’objets connectés n’ont pas les capacités techniques requises pour chiffrer les données efficacement. Dotés d’un espace de stockage limité, ils ne peuvent généralement pas intégrer une connexion SSL digne de ce nom. Les fabricants d’objets connectés, en particulier ceux destinés au grand public, continuent ainsi de commercialiser des appareils dont la sécurité est légère, sinon inexistante. Et nous ne pouvons pas y faire grand-chose.

La cybersécurité est l’affaire de tous

Si le public est de plus en plus sensible aux failles des objets IoT, cette prise de conscience est pour l’heure insuffisante. Pas d’impact sur les décisions d’achat. Les facteurs déterminants restent les fonctionnalités et le prix. Pour preuve, le succès actuel des Amazon Echo et Google Home auprès des consommateurs.

Ainsi, s’il est vrai que la première grande vague d’attaques, avec le Botnet Mirai en tête, n’a pas manqué d’attirer l’attention des spécialistes de la cybersécurité, le consommateur lambda, lui, n’a pas encore conscience de l’ampleur du problème.

Ceci étant, on assiste à l’émergence d’une petite, mais croissante, fraction de consommateurs qui s’inquiètent vraiment de la sécurité des objets connectés, en particulier celle des enceintes intelligentes capables d’écouter tout ce qui se dit à proximité d’elles. La pression sur les fabricants augmente donc et avec elle, la demande de meilleures mesures de sécurité et de protection des données. (Tribune de Christophe da Fonseca, Sales Development Manager France chez Paessler AG envoyée à toutes les rédactions web)

Chiffrement, Communiqué de presse, Cybersécurité, IOT, Securite informatique, VPN

Risques ! En vacances, hors de vos murs, le WIFI ne s’utilise pas sans VPN

3 commentaires

Une enquête menée par HideMyAss! révèle en effet que, si la grande majorité (80 %) des Français sont conscients des risques de sécurité en ligne, près d’un internaute sur cinq (17 %) se connecte toujours à des réseaux Wi-Fi gratuits dans des lieux publics.

Selon une étude récente, partir en vacances est un besoin vital pour 55 % des Français. Seulement, à l’approche des vacances de la Toussaint, le même dilemme se pose pour toutes les familles qui ont décidé d’en profiter pour voyager : comment occuper les enfants ? Sécurité des données ! Selon Harris Interactive, disposer d’un accès à Internet constitue un critère important pour 71 % des Français, pour choisir leur lieu de vacances. En effet, ils vont se connecter, entre autres, pour rester en contact avec des proches, planifier des loisirs ou encore surveiller leur compte bancaire.

Pour Brad Pool, Responsable chez HideMyAss!, bien que cela soit pratique, se connecter à n’importe quel endroit, à tout moment, comporte de nombreux risques, si on ne se montre pas vigilant : « Une enquête menée par HideMyAss! révèle en effet que, si la grande majorité (80 %) des Français sont conscients des risques de sécurité en ligne, près d’un internaute sur cinq (17 %) se connecte toujours à des réseaux Wi-Fi gratuits dans des lieux publics. Parmi ces derniers, près de la moitié des répondants (47 %) admet préférer se connecter aux réseaux Wi-Fi gratuits qui ne nécessitent ni inscription, ni mot de passe. Or, ces critères de connexion attestent en réalité de leur manque de sécurisation. ».

Risques réels

Les risques augmentent d’autant plus pour les personnes qui se connectent au Wi-Fi de leur hôtel. L’année dernière, des recherches ont ainsi montré que le groupe de hackers russes ‘Fancy Bear’ ciblait les réseaux Wi-Fi d’hôtels dans toute l’Europe, pour installer des logiciels malveillants sur les appareils des vacanciers. Pour s’immiscer dans les terminaux et récupérer des informations personnelles, les cybercriminels créent aussi de faux réseaux Wi-Fi, dotés d’un nom proche de celui de l’hôtel, pour inciter les voyageurs à s’y connecter.

Près de la moitié des utilisateurs français (47 %) se fient à un logiciel, ou une application, pour assurer leur sécurité en ligne, et 28 % affirment éviter de saisir des informations sensibles sur un réseau Wi-Fi public, telles que des identifiants de connexion ; mais de nombreuses personnes ne sont pas aussi prudentes. Presque un répondant sur dix pense que la sécurité du fournisseur réseau le protège, et seuls 12 % des français utilisent un proxy ou un réseau privé virtuel (VPN) pour sécuriser leur connexion.

Trois démarches clés peuvent aider les familles à protéger leurs données

  1. S’assurer que la connexion Wi-Fi est sécurisée. Les points d’accès Wi-Fi publics sont en effet des cibles de choix pour les pirates. S’ils se connectent au même réseau qu’un internaute, ils peuvent facilement voir les sites web visités, leur historique de navigation, ainsi que leurs mails et identifiants de connexion. Pour toute navigation hors du réseau domestique, il est donc fortement conseillé d’installer un VPN sur ses appareils pour sécuriser la connexion, et de minimiser les risques de compromission avec des extensions de navigateur telles que « HTTPS Everywhere ».
  1. Désactiver les services de géolocalisation et, si possible, l’extraction de métadonnées sur les appareils et navigateurs. Dans le cas contraire, le simple fait de partager une photo sur un réseau social permet de révéler sa position, ou celle d’un membre de sa famille.
  1. Installer un logiciel de sécurité de confiance sur les smartphones et les tablettes. De très bonnes versions gratuites sont disponibles, et réduisent tout risque de perte de données personnelles ou de vol d’identité.

Si, comme l’indique le rapport Harris Interactive, plus de 8 Français sur 10 utilisent Internet durant leurs congés pour rester en contact avec leurs proches, ou pour planifier et réserver des activités, les pirates informatiques sont eux aussi au rendez-vous et profitent de chaque vulnérabilité pour opérer. Partant du constat que les cyberattaques ont augmenté de 100 % ces deux dernières années, d’après un rapport publié par ThreatMetrix, il est urgent que les vacanciers connaissent et adoptent les bonnes pratiques en ligne pour y faire face et pour protéger leurs informations sensibles, non seulement en voyage, mais également le reste de l’année.

Chiffrement, cryptage, Cybersécurité, double authentification, Emploi, Entreprise, Fuite de données, IOT, Mise à jour, Patch, Securite informatique

Californie : une loi interdit les mots de passe trop légers

Finis les mots de passe de type 123456, password, admin, 000 … C’est ce que vient de décider l’Etat de La Californie via une loi qui contraint les entreprises à fournir des mots de passe sérieux dés la sortie d’usine.

La Californie vient de décider que toutes les entreprises capables de proposer des objets connectés (IoT) seront dans l’obligation de le faire avec un mot de passe sérieux dès la sortie d’usine. A partir de 2020, ce qui laisse le temps aux sociétés locales de régler leurs configurations respectives, fini les mots de passe de type 123456, 0000, admin, welcome, password ou… rien.

Les nouvelles règles de ce projet de loi décidé par le gouverneur Jerry Brown indiquent que chaque appareil sera équipé d’un mot de passe unique, préprogrammé. L’autre option, la plus rapide à mettre en place, obliger les utilisateurs à mettre en place un mot de passe fort.

Peu de détails supplémentaires sur la façon dont spécifiquement les vendeurs vont devoir s’y prendre pour sécuriser leurs produits. Petit détail, de taille, la loi n’oblige pas les fabricants à publier de nouvelles améliorations pour accroître la sécurité de leur technologie, par exemple en envoyant régulièrement des correctifs de sécurité faciles à installer pour les vulnérabilités connues.

Pour conclure, saluons quand même ce premier pas vers une sécurisation des comportements des consommateurs qui oublient bien trop souvent de modifier leurs identifiants de connexion.

Parmi les autres obligations, la Loi sur l’amélioration de la cybersécurité de l’internet des objets, qui obligerait les entreprises à fournir certaines assurances quant à la sécurité des appareils IoT vendus au gouvernement fédéral. En 2016, la société GData avait analysée 12 000 routeurs domestiques en 2016 a démontré que 15% des périphériques utilisaient des mots de passe particulièrement faibles.

Chiffrement, cryptage, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

OpenSSH faillible depuis 20 ans ?

2 commentaires

Toutes les versions d’OpenSSH, publiées au cours des 20 dernières années, sont soumises à une vulnérabilité dangereuse. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables.

Les chercheurs en sécurité de la société Qualys ont remarqué une vulnérabilité dans OpenSSH. La faille permettrait à un pirate de deviner les connexions enregistrées sur les serveurs OpenSSH. Une action possible à distance.

Le problème (CVE-2018-15473) touche toutes les versions du client OpenSSH publiées au cours des 20 dernières années. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables – des serveurs cloud aux équipements IoT -. La correction du problème risque de prendre du temps. Le correctif correspondant est cependant disponible.

Mode d’attaque

Pour attaquer avec succès, un pirate qui tente de s’authentifier sur un serveur vulnérable, va communiquer une demande d’authentification spécialement conçue. Le serveur peut répondre à la requête de deux manières différentes: la connexion n’existe pas, le serveur répondra par un message d’erreur. Si un nom d’utilisateur existe, la connexion quitte sans réponse. C’est ce dernier comportement qui permet à un malveillant de deviner les connexions valides enregistrées sur le serveur SSH. Il n’a plus qu’à sortir le dictionnaire de mots de passe.

Correctif

La vulnérabilité corrigée avec la sortie de versions stables d’OpenSSH. Les experts publient un code PoC pour vérifier la présence de vulnérabilités sur les serveurs (ici et ). Les chercheurs ont notamment présenté des instructions détaillées sur la manière de tester la présence d’un problème sur les serveurs.

Communiqué de presse, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

Pas (encore) de normes de sécurité pour les objets connectés

De nombreux objets connectés iot pour la maison et le bureau ne sont tout simplement pas sécurisés. On ne compte plus les histoires sur les vulnérabilités des objets connectés – particulièrement ceux utilisés à domicile. Bien que certaines aient l’air « tirées par les cheveux » – comme celle de la caméra pour bébé piratée qui répondait à sa mère – d’autres, comme le botnet Mirai, montrent que les problèmes de sécurité liés aux petits objets peuvent rapidement prendre de l’ampleur. Bref, difficile d’oublier que nombre d’objets connectés ne sont pas très sécurisés.

Camouflés derrière le plastique lustré de ces appareils connectés iot tout neufs pour la maison, de nombreux facteurs contribuent pourtant à créer cet environnement à risque. Voici les trois facteurs principaux, mais il en existe d’autres :
1.Les mots de passe codés en dur
2.Les mots de passe par défaut difficiles à changer
3.Les vulnérabilités non corrigées

La balle n’est PAS dans votre camp (mais vous êtes quand même coupable)
Avec un ordinateur à la maison, vous pouvez suivre de bonnes mesures de sécurité. Cela signifie entre autres, avoir installé un antivirus et faire en sorte que toutes vos applications et pilotes soient à jour (voire même utiliser un programme qui s’en charge tout seul). Et puis il y a cet élément important du piratage psychologique, vous en tant qu’utilisateur, ne cliquez pas sur des offres trop alléchantes sur Internet sans en être sûr.

Mais avec les objets connectés, impossible de suivre ce genre de précautions. Dans le meilleur des cas, vous pouvez modifier le mot de passe par défaut, mais ça s’arrête là. Le plus souvent, vous ne saurez même pas avec qui votre télé connectée communique et de quoi elle parle. Et ces appareils recueillent un tas de données potentiellement compromettantes sur vous et vos activités. En fait, même si votre caméra de surveillance faisait partie d’une armée internationale de botnets par DDoS, vous ne le sauriez pas.

SOS, mais qui pouvez-vous appeler ?
Les failles de sécurité de nombreux objets connectés ont lancé le débat sur les moyens des autorités ou des instances de réglementation pour remédier au problème. Aux États-Unis, une loi a été proposée qui obligerait les objets connectés achetés par le gouvernement fédéral à répondre à certaines normes. L’entrée en vigueur de cette loi aurait des répercussions sur la sécurité, car les fabricants devraient faire en sorte que leurs appareils soient plus sécurisés pour les clients du secteur public. Puis, cette certification pourrait également être utilisée pour d’autres types de clients.

Dans l’Union européenne, la Commission européenne dispose de l’AIOTI, l’Alliance for Internet of Things Innovation, un groupe de travail qui souhaiterait que les labels sur les produits – comme ceux utilisés pour présenter les données sur la consommation d’énergie – s’étendent aussi aux objets connectés.

Toutefois, cet autre concept d’auto réglementation ferait encore appel à des organismes de tests indépendants comme l’American Underwriters Laboratories, le German Stiftung Warentest ou l’AFNOR en France.

Il est temps de faire vos propres recherches sur la sécurité
Cependant, toutes ces options n’en sont encore qu’à leurs balbutiements et au moment d’acheter un objet connecté sécurisé, vous êtes encore livré à vous-même. La seule option pratique qui vous soit disponible pour le moment est de faire des recherches pour écarter toute marque ou modèle lié(e) à un problème de sécurité. Vous pouvez également jeter un œil à la liste de Krebsonsecurity des objets considérés comme problématiques. Cependant, cette approche en mode « système D » ne mettra pas au jour les composants génériques d’objets connectés, qui ont été intégrés à un système.

Il existe aussi des solutions qui peuvent vous aider à sécuriser vos connexions telle que Avira Home Guard. Il s’agit d’une application gratuite pour Windows qui scanne les objets intelligents connectés au réseau, identifie les vulnérabilités de sécurité, suggère des solutions et conserve un inventaire des appareils connectés. Cette solution vous donne une vue complète des appareils connectés à votre réseau et de leurs failles potentielles. Avira Home Guard est inclue dans le tableau de bord Avira pour Windows.

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

backdoor, Cybersécurité, IOT, Securite informatique

IoT : quand les objets connectés deviennent des menaces de sécurité

Un commentaire

Les fêtes de Noël, et maintenant les soldes représentent la période propice pour l’achat d’appareils connectés iot. Maintenant, même les jouets pour les enfants sont des bijoux de technologie intelligents, télécommandés et équipés de caméras vidéo et même de haut-parleurs intégrés. Si ces jouets sont très populaires auprès des dernières générations de consommateurs, ils peuvent également s’avérer dangereux. En effet, certains objets connectés peuvent parfois échapper au contrôle de leurs propriétaires et devenir des portes faciles d’accès pour les intrus. Dans ces cas-là les options vidéos et haut-parleurs deviennent indésirables et nuisent à la sécurité des enfants.

Les objets intelligents connectés (IoT) sont aujourd’hui très attrayants et ont pour vocation de faciliter le quotidien. Mais dans quelle mesure leur utilisation est-elle sans danger du point de vue de la cybersécurité ? En 2015, les chercheurs de Kaspersky Lab ont décidé de se pencher sur le niveau de menace que présente l’Internet des objets (IoT). Les résultats étaient préoccupants, c’est pourquoi, 2 ans plus tard, ils ont approfondi leurs recherches dans ce domaine. Sur 8 objets IoT pris au hasard (allant d’un fer à repasser intelligent à un véhicule-espion miniature), la moitié d’entre eux étaient piratables en raison de la faiblesse de leur mot de passe. En outre, un seul des objets a répondu aux exigences des chercheurs en matière de sécurité.

Un vaste réseau d’objets connectés, attrayant pour les cybercriminels.

Les objets connectés orbitent en réseau et intègrent une technologie qui leur permet d’interagir les uns avec les autres ou avec leur environnement extérieur. Du fait du grand nombre et de la variété d’objets connectés disponibles, l’IoT est devenu une cible tentante pour les cybercriminels. C’est ce qui explique, entre autres, les attaques DDoS record lancées en 2016 avec l’aide de botnets massifs constitués de routeurs, de caméras IP, d’imprimantes et d’autres appareils transformés en « zombies ». En piratant ces objets IoT, des criminels peuvent exercer un chantage ou espionner les utilisateurs. D’autres vecteurs peuvent être encore plus dangereux. Par exemple, les équipements du réseau domestique pourraient servir à des activités illicites ou bien un cybercriminel ayant accès à un objet IoT pourrait faire chanter – et espionner – son propriétaire pour lui extorquer de l’argent. Moins grave, mais toujours ennuyeux, l’appareil infecté peut aussi être mis simplement hors service.

Un niveau de sécurité beaucoup trop faible, malgré les menaces omniprésentes.

Alors que de nombreuses études ont été réalisées à la suite des incidents déplorés ces dernières années, on pourrait s’attendre à un changement notoire en matière de sécurité des objets IoT. Pour autant, Kaspersky déplore encore un manque de sécurité inquiétant, notamment au niveau des mots de passe. Pour en arriver à ces conclusions, les chercheurs ont de nouveau analysé plusieurs objets intelligents choisis de manière aléatoire, en l’occurrence un chargeur, une voiture miniature commandée par une application, un tuner, une balance, un aspirateur, un fer à repasser, une caméra et une montre. Les résultats sont véritablement inquiétants : sur les 8 objets examinés, un seul était satisfaisant en termes de sécurité.

Qui plus est, la moitié des objets pourraient être piratés et leurs vulnérabilités exploitées à cause d’un défaut de vigilance du fabricant dans la définition des mots de passe. Il s’agit en particulier de l’impossibilité de modifier le mot de passe par défaut alors même que, dans certains cas, celui-ci est identique pour tous les produits d’une gamme.

Quelques conseils d’experts pour éviter les risques

DataSecurityBreach.fr vous conseille de prendre les précautions suivantes afin de se prémunir contre l’achat d’objets intelligents vulnérables :

  1. Avant d’acheter un objet IoT, recherchez sur Internet la mention d’éventuelles vulnérabilités. L’Internet des objets est aujourd’hui un sujet brûlant et de nombreux chercheurs font un excellent travail pour découvrir des failles de sécurité dans les produits de ce type, depuis les écoute-bébés jusqu’aux armes gérées par une application. Il est probable que l’objet de convoitise ait déjà été examiné par des chercheurs en sécurité et il est souvent possible de vérifier si les problèmes découverts ont été corrigés ou pas.
  2. Ce n’est pas toujours une bonne idée d’acheter les produits les plus récents dès leur lancement sur le marché. En dehors des bugs habituels affectant les nouveaux produits, ces derniers sont plus susceptibles de receler des failles de sécurité encore inconnues des chercheurs en sécurité. Il est donc préférable de choisir des produits ayant déjà connu plusieurs mises à jour de leur logiciel.
  3. Avant de décider de rendre un aspect de sa vie un peu plus intelligent, tenir compte des risques pour la sécurité. Si on conserve de nombreux objets de valeur à votre domicile, il est sans doute judicieux d’installer un système d’alarme professionnel en remplacement ou en complément de son modèle existant commandé par une application ou bien de configurer ce dernier de sorte qu’aucune vulnérabilité éventuelle n’affecte son fonctionnement.
backdoor, Chiffrement, Communiqué de presse, cryptage, Cyber-attaque, Cybersécurité, DDoS, IOT, Piratage, ransomware, Securite informatique

Des sites Internet piratés via l’Internet des objets

Du piratage de site web via des objets connectés. La France est le 21ème pays le plus touché avec 298 hôtes enregistrés dans les 30 derniers jours.

Même si le chiffre ne semble pas énorme, les attaques repérées montre une évolution dans ce type de cyberattaque via des objets connectés. Doctor Web alerte à nouveau sur l’activité du Trojan Linux.ProxyM infectant des terminaux intelligents fonctionnant sous Linux, tels que des caméras de vidéosurveillance et des enregistreurs DVR de vidéosurveillance.

En septembre 2017, les pirates l’ont utilisé pour envoyer du spam, et plus récemment, ils utilisent ses capacités pour pirater des sites web. Selon l’entreprise, la France serait le 21ème pays le plus touché avec 298 hôtes enregistrés au cours des 30 derniers jours.

Objets connectés

Linux.ProxyM est un logiciel malveillant qui lance sur un appareil contaminé un serveur proxy SOCKS. C’est en utilisant ce proxy que les criminels peuvent agir de manière anonyme. Il existe des builds de ce Trojan pour les architectures x86, MIPS, MIPSEL, PowerPC, Superh, ARM, Motorola 68000 et SPARC. En d’autres termes, Linux.ProxyM peut contaminer n’importe quel appareil sous Linux, y compris les routeurs, boîtiers décodeurs, des caméras de surveillance, des enregistreurs DVR, et autres équipements.

Au mois de septembre, les analystes ont découvert que les malfaiteurs envoyaient plus de 400 messages spam par jour depuis chaque dispositif contaminé en utilisant Linux.ProxyM. Leurs messages contenaient des publicités pour des sites pour adultes et des services financiers douteux. Par la suite, les cybercriminels ont commencé à utiliser l’Internet des objets pour la propagation de messages de phishing. Ces messages étaient envoyés au nom de DocuSign, le service permettant de télécharger, consulter, signer et suivre le statut des documents électroniques.