Sécuriser la maison intelligente, des grille-pain aux toilettes

Fin décembre, un chercheur de la société de sécurité d'entreprise Proofpoint a remarqué quelque chose d'étrange : une passerelle de sécurité enregistrait des centaines de milliers d'e-mails malveillants qui étaient clairement envoyés par plus de 100 000 appareils fonctionnant sous Linux, mais ce n'étaient pas des PC. Il s'agissait plutôt de gadgets grand public connectés à Internet, notamment des routeurs, des téléviseurs, des centres multimédias et même un réfrigérateur.





David Knight, directeur général de Preuve L'unité de sécurité de l'information de , affirme que les attaquants avaient essentiellement mis en place un réseau de zombies de style Internet des objets - quelque chose que nous sommes plus habitués à voir sur les PC - où les appareils sont détournés sans le savoir afin de faire des choses comme envoyer du spam ou héberger illicite pornographie. Il s'attend à voir beaucoup plus de ce qu'il appelle des thingbots en tant qu'appareils connectés répartis dans toute la maison, d'autant plus que la sécurité en place sur tant de ces gadgets n'est qu'une simple interface Web qui vous demande de configurer un nom d'utilisateur et un mot de passe. .

Quelle que soit la sécurité, la sécurité était insuffisante, déclare Knight, qui soupçonne que les appareils ont été compromis en exploitant simplement des vulnérabilités Linux connues.

Les pirates informatiques ont longtemps fait des ravages sur les PC via Internet, entraînant des violations de données et des pannes informatiques. Maintenant que la précipitation est lancée pour ajouter de la connectivité à tout, des mijoteuses aux ampoules, les enjeux deviennent encore plus élevés et plus personnels (voir Plus de maisons connectées, Plus de problèmes ). Un logiciel antivirus a aidé les PC, mais vous ne pouvez pas simplement installer une suite logicielle développée pour votre bureau sur un grille-pain intelligent ; en conséquence, les appareils domestiques connectés dépendent généralement de la connexion de l'utilisateur et de la configuration d'un nom d'utilisateur et d'un mot de passe pour la protection.



Un certain nombre d'entreprises technologiques et de groupes industriels affirment que les appareils intelligents arrivent dans les magasins avec peu de protection de sécurité. Les experts en sécurité attribuent le problème à un certain nombre de facteurs : les startups peuvent mettre la sécurité au second plan dans leur hâte de sortir des produits, et les entreprises établies qui ont traditionnellement fonctionné hors ligne, comme les fabricants de chaînes stéréo ou de téléviseurs, pourraient tout simplement ne pas se rendre compte qu'elles besoin de se protéger contre les menaces lorsqu'il s'agit de gadgets connectés à Internet.

Ils ne sont pas stupides, déclare Marc Rogers, chercheur principal en sécurité dans une entreprise de sécurité mobile Chercher . Ce n'est tout simplement pas quelque chose qu'ils ont dû gérer.

Ainsi, alors que les entreprises déploient tout, des lumières intelligentes et des serrures de porte que vous pouvez contrôler avec un smartphone aux toilettes connectées et aux tensiomètres, un mouvement est également en cours pour rendre ces produits aussi sûrs que possible.



Pour Rogers chez Lookout, cela signifie pirater et parfois démanteler physiquement les appareils connectés à Internet pour découvrir où se trouvent leurs failles de sécurité. L'été dernier, Rogers et son équipe ont découvert une faiblesse dans l'ordinateur serre-tête de Google, lunettes Google (voir Des chercheurs trouvent des failles de sécurité dans Google Glass ). Plus récemment, Rogers a identifié et comparé les mesures de sécurité des caméras et des systèmes de divertissement compatibles Internet.

En gros, je casse des choses, puis je travaille : qu'est-ce qui est bien fait ? Qu'est-ce qui est mal fait ? Quelles sont les leçons ici? il dit.

Comme de nombreuses autres entreprises technologiques, Lookout reconnaît l'influence croissante des appareils connectés à Internet, un espace si chaud que Google a annoncé la semaine dernière qu'il débourserait 3,2 milliards de dollars pour acheter le thermostat intelligent et le fabricant de détecteurs de fumée Nest. L'année dernière, il y avait plus de 10 milliards d'appareils connectés, et ce nombre grimpera jusqu'à 50 milliards d'ici 2020, selon une estimation du fabricant d'équipements réseau Cisco.



Dans l'espoir de minimiser les risques de sécurité posés par toute cette croissance, Rogers élabore un ensemble de normes de sécurité que les entreprises peuvent suivre lors du développement de produits connectés. Il refuse de préciser ce que les normes de l'Internet des objets pourraient inclure, mais dit qu'il penche pour s'appuyer sur les normes les plus matures pour Internet et qu'il utilise les Ouvrir le projet de sécurité des applications Web Liste des 10 principaux risques de sécurité à titre indicatif, car il détaille de nombreux types de risques pouvant affecter toutes sortes d'appareils connectés à Internet.

À l'heure actuelle, je pense que tout le monde fait en quelque sorte son propre truc, mais il y a une voix croissante pour dire: 'Rassemblons tout le monde, essayons de nous synchroniser là-dessus', dit-il.

le Alliance AllSeen , un groupe industriel de l'Internet des objets formé en décembre pour encourager l'interopérabilité entre les appareils connectés, quel que soit leur fabricant, pense que le logiciel open source qu'il développe pourrait également aider.



Le logiciel du groupe sera basé sur AllJoyn , qui est le logiciel open source d'Internet des objets de Qualcomm, fabricant de puces pour smartphones (et membre du groupe). Liat Ben-Zur , président de l'Alliance AllSeen et chef de l'unité AllJoyn de Qualcomm, déclare qu'AllJoyn permet aux développeurs d'applications de décider du niveau de sécurité à intégrer, par exemple s'il faut crypter ou non les données transférées d'une brosse à dents intelligente vers une application pour smartphone correspondante. AllJoyn propose également des paramètres de sécurité plus nuancés, dit-elle, comme permettre à un ami en visite de contrôler votre climatiseur domestique connecté, mais uniquement dans une certaine plage de température et uniquement pendant les deux jours où il est en ville.

Des méthodes permettant d'autoriser un accès temporaire apparaissent déjà dans certaines serrures de porte intelligentes qui n'ont pas encore été libérées, parmi les seuls appareils connectés qui vantent leur sécurité, tels que Goji , qui vous permet de définir des heures pendant lesquelles vos amis peuvent entrer dans votre maison en utilisant leurs téléphones. Jusqu'à présent, cependant, ce n'est pas typique.

Une idée similaire à celle décrite par Ben-Zur est en cours à Mocana , une société de sécurité mobile et Internet des objets. Mocana travaille sur une sorte de produit matriciel numérique nommé AtoM (pour application à machine) qui, selon le directeur de la technologie James Blaisdell, permettra à différents utilisateurs de gérer et de contrôler les appareils en toute sécurité à grande échelle, avec différents niveaux d'autorité.

La société prévoit de le déployer à la fin de cette année. Initialement, il sera orienté vers des applications industrielles, dit Blaisdell, comme permettre au fabricant d'une éolienne de voir comment elle est entretenue tout en permettant à un service public d'électricité de voir la quantité d'électricité qu'elle génère. Il peut imaginer qu'il soit également utilisé pour d'autres choses, comme des gadgets pour la maison.

C'est le même genre de problèmes : comment connecter tous ces appareils en toute sécurité et les faire interagir les uns avec les autres en toute sécurité ? il dit.

Même si quelque chose comme une chaîne stéréo intelligente ou une cafetière a été piratée, cela peut être plus difficile à dire qu'avec un ordinateur portable ou un smartphone. Ces appareils n'ont souvent aucun affichage visuel, et s'ils participent à une attaque similaire à celle observée par Proofpoint, ils pourraient ne montrer aucun signe de problème.

Dans certains cas, la solution la plus simple peut donc consister simplement à limiter le nombre d'appareils pouvant se connecter à Internet. Une chose que le logiciel AllJoyn d'AllSeen Alliance peut faire est de permettre aux appareils intelligents de communiquer uniquement avec d'autres appareils de la maison - un groupe d'ampoules, par exemple, ou une serrure de porte - et de ne pas se connecter à Internet au-delà. Pour certains accros à la connexion, cela peut sembler limité, mais Ben-Zur y voit également un moyen de garder vos appareils plus sûrs et plus privés.

Je ne veux pas nécessairement qu'un service cloud sache à chaque fois que j'entre et que je sors de ma porte d'entrée, dit Ben-Zur.

cacher