Discussion :

[Bill Fassinou]

Un hacker pirate des caméras de surveillance pour parler à un bébé
la sécurité des objets connectés est-elle remise en cause ?

Sécuriser sa maison n’est pas chose facile pour tout le monde. De nombreuses personnes font confiance aux caméras de sécurité pour les aider dans ce sens. Aux États-Unis, des entreprises comme Nest Labs proposent des caméras intelligentes pour permettre aux gens de garder un œil sur leurs maisons même quand ils ne sont pas présents. Nest Labs est une compagnie américaine (rachetée en 2015 par Google) spécialisée dans la domotique qui produit des produits compatibles Wifi pouvant être contrôlés à distance via un service Web ou une application de maison intelligente associée. Elle a été fondée en 2010 par deux anciens collaborateurs d'Apple, Tony Fadell et Matt Rogers.

Beaucoup de citoyens américains utilisent les produits de l’entreprise pour mettre en place leur dispositif de sécurité notamment la caméra appelée Nest Cam. Il s’agit d’une caméra de sécurité intelligente qui détecte les mouvements et les sons. Elle envoie une alerte sur le téléphone ou un autre dispositif qui lui est relié pour informer le propriétaire des lieux s’il elle constate une anomalie. Autrement dit, Nest Cam est une webcam conçue pour surveiller la maison. Le propriétaire peut visionner des vidéos en streaming sur un smartphone. La caméra comprend la détection de mouvement et de son, la vision nocturne et des alertes d'activité. La fonctionnalité audio signifie que l'utilisateur peut parler à quelqu'un dans son environnement domestique.

Que se passerait-il lorsque ces petits objets connectés viennent à être la cible des pirates ? En effet, récemment, de nombreuses plaintes ont été déposées par les utilisateurs auprès de Google et sa société fille pour signaler des intrusions ou des piratages de leurs systèmes de sécurité en passant par les caméra Nest. Le journal CBS News nous rapporte quelques-uns des faits les plus marquants. D’après le journal, le 24 janvier dernier, une caméra Nest piratée aurait mis en garde une famille contre une attaque de missiles par la Corée du Nord. Un fait insolite, écrit le journal, qui aurait terrifié les membres de la famille.

« Si on avait eu la moindre idée qu'une violation de données s'est produite lorsque nous avons entendu le son sorti de cet appareil photo, nous aurions été moins surpris au lieu de subir plusieurs minutes de terreur », a déclaré le propriétaire de la maison. Ce 31 janvier encore, rapporte le même journal, un couple affirme qu’un pirate est passé par l’une de leurs caméras de sécurité Nest pour parler à leur bébé avant de leur lancer par la suite des obscénités. « J'ai été choqué d'entendre une voix grave et virile parler. C'était terrifiant », a déclaré la famille victime.

Interpellé, Nest a admis à l’une des familles victimes avoir reçu plusieurs rapports faisant état de piratage des caméras Nest au cours des dernières semaines. L'entreprise a ajouté cependant qu’elle les avait prévenus de mettre en place l’authentification à double facteur ce qui aurait diminué ou éliminé les risques de piratage. Rappelons que, l'authentification à double facteur est un processus de sécurité par lequel l'utilisateur fournit deux modes d'identification à partir de catégories de données distinctes. L'une se présente généralement sous la forme d'un jeton physique, comme une carte, et l'autre sous forme d'informations mémorisées, par exemple un code de sécurité.

À son tour interrogé par le journal, Google la société mère de Nest, a indiqué que la faute ne revenait pas à Nest mais plutôt aux infractions commises sur d’autres sites Web. Vous vous rappelez sûrement de la récente infraction du mois passé où une importante quantité de données personnelles ont été exposées sur le Net via le cloud populaire Mega. Il s’agissait en effet d’environ 790 millions d’adresses électroniques et de mots de passe uniques qui ont été exposés. Des données qui, selon celui qui a découvert l’infraction, proviendraient de plus de deux mille bases de données.

Google a insisté qu’à cause de ces types d’infractions, il a réinitialisé tous les comptes Nest où les clients ont réutilisé les mots de passe précédemment exposés et introduit activement des fonctionnalités permettant de rejeter les mots de passe compromis. La firme insiste également sur le fait que les utilisateurs doivent impérativement établir l’authentification à double facteur pour éviter ce genre de chose.

Rappelons qu'en 2015, Eugene Kaspersky, fondateur et CEO de la firme de cybersécurité russe portant son nom, prévenait que l’Internet des objets pourrait bientôt devenir l’Internet des menaces. Devant les caméras de NBC Television, le CEO expliquait que ces objets connectés qui sont à la merci des piratages peuvent faire plus de mal qu’on ne l’imagine. Le moins qu’on puisse dire, c’est que ces déclarations se sont vérifiées.

Entre un thermostat connecté qui a permis à des pirates de dérober 10 Go de données et les portes des bureaux de la succursale de Google à Sunnyvale (une ville californienne) dont un employé a pris le contrôle aisément grâce aux objets connectés intégrés au système, on peut dire que les cas démontrant que les objets connectés peuvent devenir des menaces ne manquent pas. En réponse à cette menace naissante, l’Assemblée californienne par exemple a décidé en septembre 2018 de prendre une loi pour réglementer les dispositifs IoT.

Rappelons aussi qu'en octobre de l'année dernière, ARM et Intel, deux géants de l’industrie des semi-conducteurs, ont convenu de travailler ensemble pour optimiser la gestion des réseaux de dispositifs connectés et accélérer la croissance du marché de l’Internet des objets (IoT). Les deux groupes ont annoncé la signature d’un partenariat stratégique qui permettra la mise en commun et l’exploitation de normes et technologies qu’ils ont développées afin de mieux gérer les dispositifs, les connexions et les données liés à l’IoT. Ce partenariat inclut les entreprises technologiques myDevices et Arduino.

Source : CBS News

Et vous ?

Qu'en pensez-vous ?
Comment peut-on sécuriser les objets connectés, selon vous ?

Voir aussi

Un recueil d'environ 773 millions d'adresses email uniques et 22 millions de mots de passe exposés sur le service cloud populaire MEGA

IoT : la Californie est sur le point de prendre une loi pour réglementer les objets connectés et deviendra ainsi le premier État américain à le faire

Intel et ARM s'associent, en dépit de leur rivalité, pour sécuriser l'IoT autour d'une plateforme unique et de l'initiative Any Device to Any Cloud

L'IoT est un danger pour la vie privée, une technologie à risque accordant peu de place aux logiciels libres, d'après Richard Stallman

[KsassPeuk]

Qu'en pensez-vous ?
Comment peut-on sécuriser les objets connectés, selon vous ?

1. Rien de neuf sous le soleil.

2. Arrêter de développer des objets connectés avec des moyens largement inférieurs aux besoins. Par exemple, en imposant aux fournisseurs de ce genre de systèmes de se faire certifier avec un niveau de critère commun qui soit assez élevé.

[gangsoleil]

"L'entreprise a ajouté cependant qu’elle les avait prévenus de mettre en place l’authentification à double facteur ce qui aurait diminué ou éliminé les risques de piratage. [...] Google la société mère de Nest, a indiqué que la faute ne revenait pas à Nest mais plutôt aux infractions commises sur d’autres sites Web. "

Si je comprends bien, ce n'est pas de leur faute si l'équipement n'est pas suffisamment sécurisé par défaut, car il est possible de le sécuriser ? Non, c'est trop facile.

C'est presque l'intégralité de la sécurité des objets connectés qu'il faut revoir, avec une sécurité maximale par défaut. Mais ça veut aussi dire qu'on ne pourra plus prendre une caméra dans une boite et la coller directement chez soi sans rien faire, il faudra la configurer -- ce que ne veulent probablement pas les constructeurs, car il y a un risque d'avoir beaucoup de retours ou de réclamations.

[Ricardzen]

L'authentification à double facteurs est une technique de plus en plus employées surtout par les sites disposant de données privées ce qui permet de filtrer les accès aux uniques utilisateurs "vrais" et "réels", c'est le cas où par exemple https://www.logicielespion.com/hoverwatch-test/ vous ouvrez votre compte bancaire sur PC de bureau et chez vous le soir sur Tablette, là ça coinçe sans cette authentification en double (généralement un code de sécurité que vous recevez par SMS à chaque fois pour vous ouvrir l'accès à la page de log In et là vous saisissez votre ID/Mot de passe.