Tech

Selon HP, 70 % des objets connectés contiennent des failles de sécurité

ActualitéClassé sous :Sécurité , Android , objet connecté

-

Alors que la déferlante des objets connectés ne fait que commencer, Hewlett-Packard a voulu évaluer le niveau de sécurité des appareils les plus répandus tels que les téléviseurs, l'électroménager ou les accessoires domotiques. Bilan : 70 % d'entre eux présenteraient de nombreuses vulnérabilités qui pourraient être facilement exploitées par des pirates...

L’Internet des objets veut transformer un grand nombre d’équipements domestiques (téléviseur, réfrigérateur, machine à laver…) pour les rendre communicants et pilotables à distance. Mais sont-ils suffisamment protégés contre d’éventuelles attaques informatiques ? © LG

L'Internet des objets est le concept en vogue qui nous promet un futur où nous vivrons entourés de capteurs et appareils électroniques capables de communiquer entre eux et d'être contrôlés à distance. Nous parlons de téléviseurs, d'électroménager, de capteurs et appareils domotiques connectés, de vêtements et d'accessoires intelligents. Cela représente un marché au potentiel de croissance énorme qui marque le deuxième chapitre de la révolution mobile après celui des smartphones et des tablettes. Selon une projection du cabinet Gartner sur 2020, le parc installé des objets connectés représentera 26 milliards d'unités pour un chiffre d'affaires global de 300 milliards de dollars. De quoi aiguiser l'appétit des fabricants qui tiennent un relais de croissance pour la décennie à venir.

Mais il est un aspect encore peu ou pas évoqué : celui de la sécurité de ces produits. Comment un réfrigérateur, une caméra de surveillance ou un téléviseur connecté sont-ils protégés contre les virus et les pirates informatique ? Le géant Hewlett-Packard (ou HP) a réalisé une étude sur ce sujet dont les conclusions sont pour le moins troublantes. 70 % des objets connectés évalués présentaient de nombreuses vulnérabilités qui pourraient être facilement exploitées.

Les téléviseurs connectés font partie des objets connectés les plus populaires testés dans l’étude réalisée par HP. Le constructeur dit avoir décelé en moyenne 25 failles de sécurité par appareil testé. © Sony

25 failles de sécurité par appareil testé

L'étude s'est penchée sur un large éventail d'objets connectés : téléviseurs, webcams, accessoires domotiques (thermostats, prises électriques, serrures, alarmes, portes automatiques...), boîtiers de contrôle multi-appareils. La majorité de ces produits fonctionnaient avec des services cloud et tous utilisaient des applications mobiles pour l'accès et le pilotage à distance. HP s'est servi de sa propre plateforme en ligne Fortify on Demand pour scanner une dizaine d'objets connectés parmi les plus répandus et a découvert en moyenne 25 failles de sécurité par appareil. Les techniciens ont identifié cinq types de problèmes :

  • Confidentialité des données insuffisante. Huit appareils sur dix géraient mal la confidentialité des informations fournies par l'utilisateur, telles que le nom, l'adresse email ou postale, la date de naissance, les coordonnées de carte bancaire ou des données sur la santé. Et 90 % des appareils testés collectaient au moins une information personnelle via le produit lui-même, le service cloud ou l'application mobile.
  • Système d'autorisation faillible. 80 % des produits ne réclamaient pas de mots de passe fort et les identifiants servaient également aux services en ligne et pour les applications mobiles.
  • Défaut de chiffrement des communications. 70 % de ces objets connectés ne chiffraient pas les communications via un réseau local ou Internet. Cet aspect est l'un des plus inquiétants sachant qu'un certain nombre de données sensibles circulent de cette manière.
  • Des interfaces en ligne mal sécurisées. Six appareils sur dix posaient des problèmes dans ce domaine, qu'il s'agisse d'identifiants par défaut trop faibles ou transmis en clair.
  • Protection logicielle insuffisante. 60 % des produits testés n'employaient pas de chiffrement pour télécharger des mises à jour logicielles. HP précise que certains téléchargements ont pu être interceptés et récupérés sous forme de fichiers dans Linux afin d'être lus et même modifiés.

Si le constat dressé par HP semble plutôt sévère, il s'agit avant tout d'un bon moyen de vanter les qualités de sa propre solution de sécurité Fortify on Demand. L'étude se conclut d'ailleurs sur une note optimiste en estimant qu'il reste encore suffisamment de temps pour remédier à ces problématiques avant que les objets connectés ne deviennent un marché de masse.