Vidéosurveillance, détection d’intrusions, contrôle d’accès, chauffage, éclairage, ouverture et fermeture des portes et fenêtres… De nombreuses fonctionnalités peuvent désormais être commandées à partir d’un smartphone via des applications mobiles dédiées. Si les études abondent, démontrant la vulnérabilité des objets connectés, rares sont celles qui questionnent la fiabilité de ces applications. Or celles-ci connaissent un grand boom sur les boutiques officielles et ont accès à quantité de données privées (géolocalisation, vidéos, photos…), ce qui en fait des cibles de choix pour les pirates. Tel est l’objet d’une récente étude du laboratoire de recherche Pradeo qui s’est basé sur un moteur d’analyse comportemental, Pradeo Security. Ainsi ce logiciel a-t-il analysé un échantillon représentatif de 100 applications mobiles connectées (thermostats, stores électriques, télécommandes, caméras de surveillance…) disponibles sur Google Play et l’App Store.
Des vulnérabilités qui permettent de prendre le contrôle des systèmes
Premier constat : 80% des apps testées comportent des vulnérabilités. Un chiffre impressionnant que nuance le rapport, puisque seul 15% de ces apps seraient totalement vulnérables à la prise de contrôle. Parmi les principales menaces pesant sur ces applications, retenons l’attaque Man-in-the-middle (MITM) ou « attaque de l’intercepteur ». ce procédé consiste à intercepter les échanges cryptés entre deux personnes ou deux ordinateurs pour décoder les messages. L’attaquant est non seulement capable de recevoir les messages des deux interlocuteurs (ou machines) mais également d’envoyer des réponses à une partie en se faisant passer pour l’autre. Pour le pirate, l’intérêt est d’espionner les communications, voire usurper les contenus ou prendre le contrôle de l’objet connecté.
Connexion à des réseaux non certifiés
Autre fait important : en moyenne, les applications connectées que le laboratoire de Pradeo a analysées envoient les données qu’elles manipulent vers 17 serveurs distincts. 8% d’entre elles les divulguent à des serveurs non certifiés. Parmi ces derniers, certains font référence à des domaines qui ont expiré et sont, par conséquent, disponibles à la vente, indique le rapport. Ce qui signifie que n’importe quel cyberpirate rachetant le nom de domaine de tels serveurs pourrait alors avoir accès à toutes les données qui leurs sont destinées. Selon le rapport, 90 % des applications envoient bel et bien les données qu’elles manipulent. Parmi celles qui sont le plus couramment divulguées, citons les fichiers de l’application pour 81% des apps, les informations sur le matériel telles que le nom du produit, l’état de la batterie (73%), mais aussi les informations sur le périphérique comme la version du système d’exploitation (73%) ou encore les informations sur la connexion téléphonique telles que l’opérateur, le code du pays (27%). Comptons également les enregistrements audio et vidéo (19%), la géolocalisation (12%) ou encore les informations sur le réseau comme l’adresse IP ou l’ état de la connexion WiFi (12%). Pour conclure, les enquêteurs assurent avoir pris contact avec les entreprises concernées par ces résultats afin de les avertir des problèmes de sécurité auxquelles elles sont exposées.
Ségolène Kahn
Commentez