HP annonce aujourd’hui les résultats d’une étude qui montre que les propriétaires de systèmes de sécurité pour la maison connectés à Internet pourraient ne pas être les seuls à surveiller leur domicile ou leur petite entreprise ! L’étude met en avant que 100% des appareils testés présentent des failles de sécurité inquiétantes, comme par exemple un manque de sécurité sur les mots de passe, le chiffrement ou encore les mécanismes d’authentification. Les appareils de surveillance domestique, comme les caméras vidéo et les systèmes d’alarme, connaissent un regain d’intérêt depuis qu’ils ont rejoint la grande famille des objets connectés (Internet of Things – IoT). Selon le cabinet d’analyse américain Gartner, en 2015 le monde comptera 4,9 milliards d’objets connectés, et leur nombre atteindra 25 milliards en 2020. Cette étude révèle combien ce marché est mal sécurisé. Ce qui pose un certain nombre de problèmes lorsqu’on met en perspective le taux de croissance attendu de l’IoT…
Les fabricants mettent rapidement sur le marché des systèmes de sécurité incorporant des solutions de supervision à distance. Avec la connexion réseau et l’accès nécessaires pour surveiller ces équipements distants, le risque de faille de sécurité est bien plus important avec ces appareils qu’avec ceux de la génération précédente, non connectés à Internet. L’étude s’interroge pour savoir si ces équipements rendent finalement nos domiciles et nos petites entreprises plus sécurisés ou, au contraire, les exposent à des risques d’accès réseau frauduleux sur des objets connectés peu sécurisés.
HP a utilisé HP Fortify on Demand pour auditer 10 équipements connectés de sécurisation des domiciles, avec leur composants cloud et les applications mobiles de pilotage. L’étude a montré qu’aucun de ces appareils n’exigeaient l’emploi de mot de passe forts, ni de proposait de mécanisme d’authentification à deux niveaux. Les soucis de sécurité les plus courants et les plus faciles à régler identifiés par l’étude comportent :
– un niveau d’authentification insuffisant : aucun des systèmes intégrant une interface web et/ou sur mobile ne demandait un niveau de complexité ou de longueur suffisant pour les mots de passe. La plupart d’entre eux se contentaient d’un mot de passe constitué de six caractères alphanumériques. Aucun système ne verrouillait les accès suite à un certain nombre de tentatives infructueux.
– des interfaces peu sécurisées : toutes les interfaces web basées sur le cloud ont montré des failles de sécurité permettant à un hacker d’accéder au compte utilisateur et d’en aspirer le contenu via 3 défauts de sécurité de l’application : énumération des comptes utilisateurs, faible politique de gestion des mots de passe et manque de verrouillage du compte. De même, 5 des 10 systèmes testés ont montré des risques de vol de contenu via l’application d’accès sur smartphone, ce qui expose les clients à des risques similaires.
– questions concernant des informations à caractère privé : tous les systèmes testés ont collecté certaines informations personnelles telles que nom, adresse, date de naissance, numéro de téléphone et même des numéros de carte de crédit. L’exposition de ces renseignements personnels est une préoccupation, étant donnés les risques de vol du contenu des comptes utilisateurs détectés sur tous ces systèmes. Notons également que l’utilisation de la vidéo est une fonctionnalité clé de nombreux systèmes de sécurité du domicile, couplée à l’affichage distant depuis des applications mobiles et des interfaces web basés sur le cloud. La confidentialité des images vidéo de l’intérieur de votre domicile ou petit entreprise devient une préoccupation supplémentaire.
– Manque de chiffrement des données transmises : bien que tous les systèmes étudiés intègrent un mécanisme de chiffrement des données transmises comme SSL ou TLS, plusieurs connexions au cloud demeurent vulnérables aux attaques (par exemple PODDLE). Configurer correctement le chiffrement des transmissions est important dans la mesure où la sécurité est une fonctionnalité essentielle attendue de la part de ces équipements.
« Lorsqu’on sait que 10 des systèmes de sécurité les plus connus manquent de fonctionnalités de sécurité de base, il est important pour les consommateurs d’adopter des mesures de sécurité simples et pratiques lorsqu’elles existent, souligne Jason Schmitt, vice-président et directeur général de Fortify, au sein de la division Enterprise Security Products d’HP. De leur côté, les fabricants d’appareils doivent prendre la responsabilité de la sécurité dans leurs produits pour éviter d’exposer leurs clients à de graves menaces sans qu’ils soient informés. »
Erick Haehnsen
Pour en savoir plus, cliquez ici.
Commentez