Les montres intelligentes piètrement sécurisées, ciblées par les cybercriminels
D’une enquête réalisée par HP, il ressort que les montres intelligentes ou connectées sont très sensibles aux cyber-attaques. Une authentification insuffisante, un manque de cryptage et le non-respect de la vie privée en sont les principales causes.
L’enquête menée par HP avait pour but de contrôler si les montres intelligentes peuvent suffisamment protéger les données (sensibles). L’étude a déjà mis en lumière pas mal de problèmes de sécurité au niveau de l’ensemble des dix montres testées. Les problèmes les plus fréquents sont passés en revue ci-après.
- Authentification/autorisation insuffisante de l’utilisateur: Chaque montre testée était combinée à une interface mobile sans double authentification (avec l’authentification double, l’on a besoin de deux données séparées pour pouvoir se connecter). L’accès n’y est pas non plus bloqué après 3 à 5 tentatives avortées. Trois montres sur dix sont vulnérables à ce qu’on appelle l”account harvesting’, ce qui signifie qu’un agresseur peut accéder à un appareil et à ses données à cause d’une combinaison d’un faible mot de passe, d’une absence de blocage et de la ‘user enumeration’ (qui permet à un pirate, après une tentative avortée, de savoir directement si cela est dû au nom de l’utilisateur ou au mot de passe).
- Manque de cryptage de transfert: Le cryptage de transfert est important, parce que des informations personnelles sont stockées en plusieurs endroits dans le nuage (cloud). Toutes les montres testées utilisaient SSL/TLS comme cryptage de transfert, alors que 40 pour cent des connexions cloud sont vulnérables à l’attaque POODLE, utilisent un cryptage de piètre qualité ou encore et toujours SSL v2.
- Interfaces peu sûres: 30 pour cent des montres intelligentes testées utilisent une interface web basée cloud. Cette dernière se caractérise par des problèmes d’énumération de compte. D’un test séparé, il est apparu que des problèmes d’énumération existent aussi avec des applications mobiles et ce, dans 30 pour cent des cas. C’est par ces failles que les pirates peuvent identifier les comptes des utilisateurs grâce aux données reçues via ce qu’on appelle des mécanismes ‘reset password’ (réinitialisation du mot de passe).
- Software/firmware peu sûrs: 70 pour cent des montres intelligentes affichent des problèmes de sécurisation des mises à jour du firmware. Il est question de mises à jour du firmware sans cryptage et sans que les fichiers d’actualisation soient codés. Même si nombre de mises à jour aident à empêcher l’installation d’un firmware infecté, une absence de cryptage fait en sorte que des fichiers sont encore téléchargés et analysés.
- Problèmes de respect de la vie privée: Toutes les montres intelligentes collectent des informations personnelles, comme le nom, l’adresse, la date de naissance, le poids, le sexe et d’autres renseignements médicaux. En raison des problèmes d’énumération de compte et de l’utilisation de mots de passe faibles sur certains modèles, ces données sont exposées.
Dans son rapport, HP prodigue quelques conseils concrets pour une utilisation sûre d’une montre connectée et ce, tant à la maison qu’au travail.
- N’utilisez pas une montre intelligente pour ouvrir votre maison, votre voiture, etc., sauf utilisation d’une solide autorisation.
- Pour rendre préventivement la vie difficile aux pirates, il est nécessaire de changer régulièrement de mot de passe, d’utiliser des mots de passe efficients et de veiller autant que possible à une double authentification.
- N’autorisez pas les requêtes d’appareils/applications inconnus qui veulent un rapprochement avec votre montre intelligente. En cas de doute, renseignez-vous sur l’expéditeur.
Ces mesures sont non seulement importantes pour protéger vos données personnelles, mais surtout si vous utilisez votre montre au travail et qu’elle est connectée au réseau de l’entreprise.
L’étude de HP s’inscrit dans un enquête en cours portant sur la protection dans le domaine de l’internet des choses (Internet of Things ou IoT). L’entreprise technologique a examiné 10 montres intelligentes, leur nuage Android et iOS cloud, plus quelques applications mobiles.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici