Sécurité des objets connectés : le grand frisson
Avast profite du MWC 2017 pour attirer l’attention sur le manque de sécurité des objets connectés. Son étude, dans la seule ville de Barcelone, est édifiante.
Les objets connectés souffrent d’un manque criant de sécurité, on le sait. Avast le démontre à Barcelone, au cours du MWC 2017. Dans la seule capitale de la Catalogne, Avast a identifié plus de 22 000 webcams et baby phones vulnérables aux attaques, et donc susceptibles d’être utilisés par des cybercriminels pour diffuser en direct sur internet des vidéos récupérées. Moralité : des bouilloires, des machines à café, des portes de garage, des réfrigérateurs, des thermostats et d’autres appareils connectés à internet peuvent très facilement être hackés et utilisés à des fins malveillantes.
Dans le cadre de cette enquête, Avast a identifié plus de 5,3 millions d’appareils connectés vulnérables en Espagne (dont plus de 493 000 rien qu’à Barcelone), plus de 150 000 webcams vulnérables (et plus de 22 000 à Barcelone), plus de 79 000 bouilloires et machines à café connectées vulnérables, plus de 444 000 appareils utilisant le protocole réseau Telnet, détourné par des pirates informatiques pour créer le botnet Mirai. Cette étude prouve qu’il est extrêmement facile pour tout un chacun de collecter des adresses et ports IP sur internet, et d’identifier les appareils qui y sont associés. Avec un minimum d’efforts et de compétences, il est ensuite possible de déceler le type d’objet (webcam, imprimante, bouilloire, réfrigérateur, etc.), sa marque, son modèle et la version de son logiciel. La vulnérabilité des webcams et autres objets entraîne de nombreux problèmes inhérents à la sécurité, la confidentialité et à la légalité qui doivent impérativement être résolus.
«Pour un cybercriminel, il est aujourd’hui très simple de trouver des bases de données reprenant les failles récurrentes de nombreux appareils, et il n’y a pas besoin d’avoir une vaste expertise pour faire les liens nécessaires et identifier ceux qui sont vulnérables, explique Vince Steckler, President & CEO, Avast. Et même si ces objets sont protégés par un mot de passe, les hackers parviendront bien souvent à y accéder en testant des combinaisons de noms d’utilisateurs et mots de passe jusqu’à ce qu’ils parviennent à les cracker.»
Les fabricants d’équipements connectés collectent et sauvegardent également certaines données privées de leurs utilisateurs, notamment leurs coordonnées, leurs habitudes de navigation ou leurs numéros de carte de crédit, ce qui ajoute un risque supplémentaire si elles sont interceptées par des hackers. Et même si ce problème ne se cantonne pas uniquement à la péninsule ibérique ou à Barcelone, cela représente tout de même un défi pour la ville qui accueille cette semaine plusieurs milliers d’experts en solutions mobiles et technologiques à l’occasion du MWC 2017.