Absence de sécurité en IdO

Le rapport de sécurité établi en Juillet 2014 par HP montre que les systèmes de test de l’Internet des Objets pourraient être facilement forcés pour en extraire les noms d’utilisateur et les mots de passe. Et ceci pourrait être exécuté à distance, ce qui rend une attaque des éclairages intelligents très rentable.

L’attaquant doit au préalable mettre la main sur le matériel afin d’en extraire les informations d’identification du réseau de la maison. Il suffit d’être à l’intérieur de la maison pour tromper la vigilance des gardiens. Au fond, la maison «intelligente» laisse entrer le voleur par la porte d’entrée grâce aux «lacunes importantes» de l’industriel.

Le rapport est éloquent. Sur les plates-formes de sécurité à domicile qui ont été testées, 100% étaient vulnérables et pouvaient être forcées malgré leurs interfaces en Cloud. Aucune n’a réussi à mettre en œuvre le système de défense de verrouillage de compte. 90% n’avaient pas l’authentification à deux niveaux. La plupart des systèmes disposait d’un mot de passe alphanumérique à six chiffres, et ne pouvait pas verrouiller les comptes après un certain nombre de tentatives infructueuses. Les interfaces présentaient des problèmes de dénombrement, ce qui permettait aux pirates de formuler des hypothèses précises relatives aux identifiants de connexion.

Les caméras vidéo, peut-être la partie la plus sensible de la maison intelligente, ont été particulièrement agressées. Quatre des sept systèmes avec caméras ont permis d’ouvrir l’accès vidéo à des utilisateurs extérieurs. Deux de ces systèmes vidéo permettaient de diffuser localement sans authentification, ce qui signifie que l’attaquant avait juste besoin d’accéder au WiFi de la maison pour savoir à quoi les occupants étaient occupés.

Une entreprise de sécurité, appelée SynAck, a également constaté que tous les dispositifs d’accès pouvaient être piratés à l’exception de celui du détecteur de fumée Kidde, qui n’est pas connecté à l’Internet. Le rapport rédigé par HP révèle que de nombreux systèmes ont été mal conçus ou configurés, et que près de la moitié présentent des dispositifs de chiffrement SSL ou TLS mal configurés ou pas à jour sur le plan des normes.

En conclusion, les consommateurs sont invités à choisir des mots de passe plus forts que les valeurs par défaut proposées par les fournisseurs de périphériques. Pour l’entreprise, HP conseille aux exploitants de réseau de mettre en œuvre le principe de segmentation en utilisant des pare-feux et des filtres afin de séparer les dispositifs IdO du reste du réseau. La politique des mots de passe renforcés, le verrouillage des comptes et l’authentification à deux facteurs ne doivent pas être oubliés. Avec l’IdO, des milliards de dispositifs vont être accessibles depuis le réseau mondial, et il faut s’attendre à des turbulences. Voir aussi http://rethinkresearch.biz/ http://www8.hp.com/

© 2015 Strategies Telecoms & Multimedia | Contact |  -