Plus de maisons connectées, plus de problèmes

As a croissance numéro des appareils électroménagers connectés à Internet arrivent sur le marché, David Bryan et Daniel Crowley craignent que les vauriens du numérique n'obtiennent de nouvelles façons de prendre le contrôle de ces appareils, de déverrouiller votre maison, d'augmenter votre facture de chauffage, de tirer la chasse d'eau de vos toilettes. ou pire, de loin.





Bryan et Crowley, tous deux chercheurs en sécurité à Trustwave Holdings , ont essayé de sonner l'alarme depuis qu'ils ont entendu parler du Lockitron , un gadget à 179 $ conçu pour s'adapter à un pêne dormant standard et vous permet de verrouiller ou de déverrouiller votre maison à partir de votre smartphone. À l'époque, l'appareil n'avait pas encore commencé à être expédié aux clients, mais cela a piqué la curiosité de Bryan et Crowley. Ils ont pensé qu'ils essaieraient d'autres appareils intelligents pendant qu'ils y étaient, et au cours des derniers mois, ils ont constaté que presque tous, y compris les lumières, une balance et des toilettes, présentaient des lacunes importantes en matière de sécurité.

Leurs découvertes mettent en évidence un problème potentiel avec le soi-disant Internet des objets et la nouvelle classe de produits domestiques connectés à Internet que vous pouvez surveiller et gérer à distance. Ces appareils offrent de la commodité et des économies d'énergie potentielles et parfois juste de la nouveauté (voir Home Tweet Home: A House with Its Own Voice sur Twitter ). Selon Les données d'ABI Research, il y a déjà plus de 10 milliards d'appareils connectés sans fil en cours d'utilisation, et d'ici 2020, il y en aura plus de 30 milliards. Alors que les appareils concentrateurs tels que les smartphones et les ordinateurs portables représentent aujourd'hui la majeure partie de ce total, l'étude de marché s'attend à ce que cela évolue en faveur des capteurs et des nœuds bon marché qui composent l'Internet des objets.

Pourtant, alors que nous connectons de plus en plus d'appareils à Internet, tout, du thermostat aux toilettes en passant par la porte d'entrée elle-même, peut créer une nouvelle ouverture potentielle pour les intrus électroniques. Comme pour les ordinateurs, il existe des moyens de protéger ces appareils des étrangers, mais les expériences de Crowley et Bryan indiquent que, pour l'instant du moins, ce n'est pas toujours une préoccupation majeure pour les entreprises pressées de vendre cet équipement. Rendre les appareils plus sûrs peut augmenter le temps de développement des produits.



Cela varie d'un appareil à l'autre, mais un fil conducteur avec beaucoup de ces appareils est qu'ils ne nécessitent aucune authentification, dit Crowley.

Par exemple, Crowley et Bryan ont examiné le Veralight , qui se branche sur votre réseau informatique domestique et vous permet de contrôler et de gérer de nombreux types d'appareils électroménagers. Par défaut, aucun nom d'utilisateur ou mot de passe n'était requis pour accéder au système, et ils disent avoir trouvé de nombreux moyens de contourner l'authentification même lorsqu'elle était activée. Plus récemment, Crowley et Bryan ont découvert avec quelle facilité il était possible d'obtenir une toilette musicale appelée le Satisfait , qui est contrôlé par un Application pour smartphone Android , pour se rincer à plusieurs reprises ou jouer de la musique forte. Ils ont récemment discuté de leurs conclusions lors de la conférence annuelle sur la sécurité Black Hat à Las Vegas.

Crowley et Bryan disent avoir contacté chaque entreprise dont les produits, selon eux, présentent des failles de sécurité. La plupart du temps, ils n'ont reçu aucune réponse directe. Dans un communiqué, le fabricant du Veralight, basé à Hong Kong Ma maison verte , a déclaré qu'il pensait que ses contrôleurs étaient aussi sécurisés ou plus sécurisés que n'importe lequel des produits domotiques sur le marché aujourd'hui. Lisse , la société japonaise derrière les toilettes en réseau, a déclaré dans un communiqué qu'il y a plusieurs conditions nécessaires qui doivent être remplies pour contrôler les toilettes à distance, comme le couplage d'un smartphone avec les toilettes, ce qui doit être fait avec une unité séparée fournie avec le Satisfait.



Les chercheurs en sécurité craignent que les risques présentés par ces nouveaux types de gadgets soient particulièrement préoccupants. Si les pirates peuvent exploiter une faiblesse dans un seul type d'appareil ou de système domestique connecté à Internet, comme une serrure de porte connectée à Internet, ils peuvent nuire à des milliers de personnes à la fois. Cela peut demander un certain effort pour obtenir ce genre de scénario, mais si pénétrer dans un serveur signifie que vous devez saccager les maisons de 100, 1 000, 10 000 personnes, cela en vaut vraiment la peine, et c'est là que réside le vrai danger, dit Crowley.

Yoshi Kohno , professeur agrégé à l'Université de Washington qui étudie la sécurité informatique et la confidentialité dans les technologies grand public, dit qu'il est difficile de savoir exactement à quel point ce problème sera grave. Mais il a découvert de réelles vulnérabilités dans plusieurs objets connectés à Internet, notamment les voitures, les appareils médicaux et les jouets pour enfants. Un jouet qui comprend une webcam, par exemple, pourrait permettre à un attaquant en ligne de se connecter au jouet et d'activer la webcam. En tant que communauté, nous devons examiner de manière globale toutes les technologies émergentes et ne pas simplement dire : « Oh, c'est un grille-pain, ça n'a pas d'importance » et penser que tout compte jusqu'à ce que nous croyions que ce n'est pas le cas, dit-il.

Kohno dit qu'il aurait besoin de mettre davantage l'accent sur la sécurité avant de se sentir à l'aise d'utiliser la plupart des gadgets pour maison connectée actuellement disponibles : les lumières qui peuvent être contrôlées sur le Web peuvent convenir, mais une serrure de porte automatisée, par exemple, serait toujours hors de question.

Même avec des mesures de sécurité en place, il existe également un potentiel d'écoute électronique, dit Kamin Whitehouse, professeur agrégé à l'Université de Virginie qui étudie les bâtiments intelligents. Ses recherches ont montré que même si le trafic de données provenant d'appareils intelligents sans fil dans la maison est crypté, un attaquant peut toujours analyser les modèles de trafic réseau et, en faisant quelques hypothèses sur le comportement humain, avoir une idée de ce qui se passe à l'intérieur de la maison. Une fois que la maison commence à être entièrement connectée, il n'y a aucune raison de penser qu'elle ne deviendra pas une cible, dit-il.

Pour leur part, Crowley et Bryan sont optimistes que cela va changer. La serrure de porte contrôlée par smartphone qui les a d'abord intrigués a récemment commencé à être expédiée aux clients et offre une sécurité des détails et un contact e-mail pour les questions liées à la sécurité. C'est une indication que Apigy , la société derrière Lockitron, se concentre sur le problème, dit Crowley. C'est grand. Cela en dit long sur l'état de la sécurité de ce produit, dit-il. Cela signifie que nous aurons probablement du mal à le casser.

cacher