Dans sa dernière étude, qui porte sur le premier semestre 2019, Kaspersky révèle que les attaques contre les objets connectés ont été multipliées par 9. Le plus souvent, c'est à cause d'une faille non corrigée, ou d'un mot de passe simple.

Cela vous intéressera aussi

Enceintes, voituresvoitures, montres, et désormais bagues... Les objets connectés se multiplient et ils deviennent du même coup des cibles pour les pirates. Dans sa dernière étude en date, Kaspersky révèle ainsi que les attaques contre les appareils dits « IoT » ont été multipliées par 9 entre le premier semestre 2018 et le premier semestre 2019, passant de 12 millions d'attaques à... 105 millions !

Pour effectuer ces mesures, Kaspersky a utilisé des leurres, appelés « honeypot » en anglais. Des « pots de miel » qui se chargent d'imiter des objets connectés pour attirer des hackers, et ses 50 « honeypots » ont ainsi détecté plus de 100 millions d'attaques, à partir de 276.000 adresses IPadresses IP différentes. Le tout en seulement six mois. Kaspersky a ainsi calculé que ses leurres avaient généré 20.000 sessions infectées toutes les 15 minutes.

Des conseils de bon sens

Parmi les attaques, on retrouve sans surprise le malware Mirai, responsable de 39 % des attaques, par son exploitation de vulnérabilités non corrigées. Pour sa part, le malwaremalware Nyadrop qui représente aussi 39 % des attaques est le spécialiste des attaques par force bruteforce brute. Ce que constate l'éditeur d'antivirusantivirus, c'est tout simplement qu'il s'agit d'attaques pas très sophistiquées, qui profitent simplement de failles simples comme un firmwarefirmware non mis à jour ou d'un mot de passe simple.

Kaspersky conseille ainsi de modifier, dès l'achat, le mot de passemot de passe proposé par défaut par les fabricants, mais aussi de mettre à jour les appareils lorsque cela est proposé puisque les fichiers intègrent les derniers correctifs en matièrematière de sécurité. Enfin, il est toujours conseillé d'utiliser un VPN pour restreindre l'utilisation et les connexions des objets à son réseau localréseau local (domicile ou entreprise).


Selon HP, 70 % des objets connectés contiennent des failles de sécurité

Alors que la déferlante des objets connectés ne fait que commencer, Hewlett-Packard a voulu évaluer le niveau de sécurité des appareils les plus répandus tels que les téléviseurs, l'électroménager ou les accessoires domotiquesdomotiques. Bilan : 70 % d'entre eux présenteraient de nombreuses vulnérabilités qui pourraient être facilement exploitées par des pirates...

L'Internet des objets est le concept en vogue qui nous promet un futur où nous vivrons entourés de capteurscapteurs et appareils électroniques capables de communiquer entre eux et d'être contrôlés à distance. Nous parlons de téléviseurs, d'électroménager, de capteurs et appareils domotiques connectés, de vêtements et d'accessoires intelligents. Cela représente un marché au potentiel de croissance énorme qui marque le deuxième chapitre de la révolution mobile après celui des smartphonessmartphones et des tablettestablettes. Selon une projection du cabinet Gartner sur 2020, le parc installé des objets connectés représentera 26 milliards d'unités pour un chiffre d'affaires global de 300 milliards de dollars. De quoi aiguiser l'appétit des fabricants qui tiennent un relais de croissance pour la décennie à venir.

Mais il est un aspect encore peu ou pas évoqué : celui de la sécurité de ces produits. Comment un réfrigérateur, une caméra de surveillance ou un téléviseur connecté sont-ils protégés contre les virusvirus et les pirates informatique ? Le géant Hewlett-Packard (ou HP) a réalisé une étude sur ce sujet dont les conclusions sont pour le moins troublantes. 70 % des objets connectés évalués présentaient de nombreuses vulnérabilités qui pourraient être facilement exploitées.

Les téléviseurs connectés font partie des objets connectés les plus populaires testés dans l’étude réalisée par HP. Le constructeur dit avoir décelé en moyenne 25 failles de sécurité par appareil testé. © Sony
Les téléviseurs connectés font partie des objets connectés les plus populaires testés dans l’étude réalisée par HP. Le constructeur dit avoir décelé en moyenne 25 failles de sécurité par appareil testé. © Sony

25 failles de sécurité par appareil testé

L'étude s'est penchée sur un large éventail d'objets connectés : téléviseurs, webcamswebcams, accessoires domotiques (thermostats, prises électriques, serrures, alarmes, portes automatiques...), boîtiers de contrôle multi-appareils. La majorité de ces produits fonctionnaient avec des services cloud et tous utilisaient des applications mobiles pour l'accès et le pilotage à distance. HPHP s'est servi de sa propre plateforme en ligne Fortify on Demand pour scannerscanner une dizaine d'objets connectés parmi les plus répandus et a découvert en moyenne 25 failles de sécurité par appareil. Les techniciens ont identifié cinq types de problèmes :

  • Confidentialité des données insuffisante. Huit appareils sur dix géraient mal la confidentialitéconfidentialité des informations fournies par l'utilisateur, telles que le nom, l'adresse email ou postale, la date de naissance, les coordonnées de carte bancaire ou des données sur la santé. Et 90 % des appareils testés collectaient au moins une information personnelle via le produit lui-même, le service cloud ou l'application mobile.
  • Système d'autorisation faillible. 80 % des produits ne réclamaient pas de mots de passe fortmots de passe fort et les identifiants servaient également aux services en ligne et pour les applicationsapplications mobiles.
  • Défaut de chiffrementchiffrement des communications. 70 % de ces objets connectés ne chiffraient pas les communications via un réseau local ou Internet. Cet aspect est l'un des plus inquiétants sachant qu'un certain nombre de données sensibles circulent de cette manière.
  • Des interfaces en ligne mal sécurisées. Six appareils sur dix posaient des problèmes dans ce domaine, qu'il s'agisse d'identifiants par défaut trop faibles ou transmis en clair.
  • Protection logicielle insuffisante. 60 % des produits testés n'employaient pas de chiffrement pour télécharger des mises à jour logicielles. HP précise que certains téléchargements ont pu être interceptés et récupérés sous forme de fichiers dans LinuxLinux afin d'être lus et même modifiés.

Si le constat dressé par HP semble plutôt sévère, il s'agit avant tout d'un bon moyen de vanter les qualités de sa propre solution de sécurité Fortify on Demand. L'étude se conclut d'ailleurs sur une note optimiste en estimant qu'il reste encore suffisamment de temps pour remédier à ces problématiques avant que les objets connectés ne deviennent un marché de massemasse.