Des chercheurs israéliens découvrent des failles dans des appareils du quotidien
Rechercher

Des chercheurs israéliens découvrent des failles dans des appareils du quotidien

L'équipe de l'université Ben-Gurion a été capable de faire passer de la musique à travers un écoute-bébé, éteindre un thermostat et d'allumer une caméra à distance

Illustration d'un bébé qui dort (iStock by Getty Images)
Illustration d'un bébé qui dort (iStock by Getty Images)

Les chercheurs en cyber-sécurité de l’Université Ben Gourion du Néguev ont déclaré avoir trouvé de graves problèmes de sécurité dans des appareils tels que les moniteurs pour bébés, la sécurité domestique et les caméras Web, les alarmes et les thermostats. Ceux-ci ont été facilement piratés par les chercheurs dans le cadre de leur étude en cours sur la détection des vulnérabilités de l’Internet des Objets, des dispositifs domestiques connectés à Internet et des réseaux.

En même temps que nous nous équipons de plus en plus d’alarmes intelligentes, d’assistants personnels, de smartphones et de moniteurs pour bébés, nous nous exposons de plus en plus à la possibilité que nos appareils soient pris en charge par des pirates informatiques.

L’assistante personnelle Alexa d’Amazone, a fait sursauter ses propriétaires la semaine dernière lorsqu’elle a émis des rires spontanés. Cela a poussé le géant du commerce électronique à résoudre le problème, qui n’était heureusement pas un hack. Mais l’épisode peut être vu comme un avertissement de choses qui pourraient mal tourner, car nous devenons de plus en plus connectés.

« Il est vraiment effrayant qu’un criminel, un voyeur ou un pédophile puisse facilement prendre possession de ces appareils », a déclaré le Dr Yossi Oren, maître de conférences au département informatique et systèmes d’information de BGU et responsable du laboratoire de sécurité et d’attaques latérales à Cyber ​​@ BGU.

« En utilisant ces appareils dans notre laboratoire, nous avons pu jouer de la musique à travers un moniteur pour bébé, éteindre un thermostat et allumer une caméra à distance, au grand dam de nos chercheurs qui utilisent eux-mêmes ces produits. »

« Il n’a fallu que 30 minutes pour trouver les mots de passe pour la plupart des appareils et certains d’entre eux ont été obtenus grâce à une recherche Google sur la marque », a déclaré Omer Shwartz, étudiant en doctorat et membre du laboratoire d’Oren.

« Une fois que les pirates informatiques peuvent accéder à un appareil IoT, comme une caméra, ils peuvent créer un réseau entier de ces modèles de caméras contrôlés à distance. »

Omer Shwartz, à gauche, et Yael Mathov, chercheurs en cybersécurité de l’Université Ben Gourion, démontrant leurs découvertes lors d’une tournée de presse; 6 mars 2018 (Shoshanna Solomon / Times of Israël)

Les chercheurs de BGU ont découvert plusieurs façons dont les pirates informatiques peuvent tirer parti des dispositifs mal sécurisés. Ils ont découvert que des produits similaires sous différentes marques partagent les mêmes mots de passe par défaut communs. Les consommateurs et les entreprises changent rarement les mots de passe des appareils après les avoir achetés. Ils pourraient donc utiliser des appareils infectés par des codes malveillants pendant des années, selon les chercheurs.

Les chercheurs ont également pu se connecter à des réseaux WiFi entiers simplement en récupérant le mot de passe stocké dans un appareil pour accéder au réseau, ont-ils déclaré.

Pour résoudre le problème, les fabricants doivent cesser d’utiliser des mots de passe facilement contournables, désactiver les capacités d’accès à distance et rendre plus difficile l’obtention d’informations à partir de ports partagés, ont-ils déclaré.

« Il semble que la mise sur le marché de produits IoT à un prix attractif est souvent plus importante que la sécurisation de ces derniers », a déclaré M. Shwartz.

Selon le cabinet d’études Gartner Inc., quelque 8,4 milliards d’appareils connectés sont utilisés dans le monde et devraient atteindre 20,4 milliards d’appareils d’ici 2020.

« Les appareils IoT sont faits pour durer » pendant des années, a déclaré Schwartz, alors que les chercheurs ont présenté leurs conclusions aux journalistes dans leur laboratoire la semaine dernière. « Donc il y a un problème. »

Pour aider à accroître la sécurité, les chercheurs ont recommandé un certain nombre d’étapes : éviter d’utiliser des appareils IoT, car ils pourraient avoir des logiciels malveillants installés, mais si vous les utilisez, achetez uniquement auprès de fabricants et de fournisseurs réputés; rechercher chaque appareil en ligne pour déterminer s’il a un mot de passe par défaut et si oui, le changer avant l’installation; utiliser des mots de passe avec un minimum de 16 lettres, car celles-ci sont difficiles à déchiffrer; ne partagez pas un mot de passe entre plusieurs appareils; mettre à jour le logiciel régulièrement.

Les chercheurs ont conseillé très soigneusement d’examiner les avantages et les risques de la connexion d’un appareil à Internet.

« L’augmentation de la popularité de la technologie IoT présente de nombreux avantages, mais cette montée en puissance de nouveaux dispositifs innovants et bon marché révèle des problèmes de sécurité et de confidentialité complexes », a déclaré Yael Mathov, une étudiante qui a mené la recherche. « Nous espérons que nos découvertes responsabiliseront les fabricants et aideront à sensibiliser les fabricants et les consommateurs aux dangers inhérents à l’utilisation généralisée d’appareils IoT non sécurisés. »

En savoir plus sur :
C’est vous qui le dites...