Comment protéger votre maison des risques liés aux objets connectés ?

Plus de 8,4 milliards d’objets connectés à Internet devraient être disponibles reliés à l’Internet en 2017 et Gartner estime que ce chiffre pourrait atteindre 20,4 milliards d’ici 2020. En 2017, le marché grand public représente 63 % de l’ensemble des appareils utilisés, soit 5,2 milliards d’unités.

 

Depuis plusieurs années, les chercheurs en sécurité mettent en garde contre les prises connectées, qui sont intrinsèquement vulnérables, les ampoules intelligentes et autres objets connectés au réseau domestique. Pour l’utilisateur, le danger ne se limite pas uniquement à perdre le contrôle de l’appareil ciblé. En utilisant une simple vulnérabilité dans une smart TV ou un appareil quelconque, les attaquants peuvent se déplacer latéralement sur le réseau et compromettre la sécurité de tous les autres appareils (les ordinateurs portables et appareils mobiles par exemple), mais aussi celle des données privées et personnelles stockées sur des espaces partageant ce même réseau vulnérable.

Smart TV

Les Smart TV sont désormais courantes et de plus en plus présentes dans les foyers. Même si l’utilisateur moyen ne perçoit généralement pas cet objet comme étant « connecté », la télévision dispose bien d’une connectivité Internet et d’un système d’exploitation. Elle est donc exposée aux menaces, au même titre qu’un smartphone ou qu’une tablette. Les Smart TV étant désormais touchées par les infections de ransomwares, les utilisateurs doivent non seulement installer une solution de sécurité, mais aussi effectuer régulièrement les mises à jour afin de corriger toutes les vulnérabilités connues.

Étant donné que ces télévisions permettent de naviguer sur Internet et d’installer des applications de sources diverses, fiables et non fiables, il est vivement recommandé d’installer une solution de sécurité conçue pour les télévisions connectées exécutant Android.

Caméras IP et babyphones

Alors que les Smart TV peuvent être équipées de logiciels de sécurité, d’autres objets comme les webcams, les babyphones ou les caméras IP ne proposent pas cette option. Les chercheurs en sécurité ont souvent démontré que les hackers pouvaient facilement prendre le contrôle à distance de ces objets en exploitant leurs ports de communications et services Internet (p. ex. Telnet, SSH) ou les vulnérabilités non corrigées de leurs logiciels.

Certains de ces appareils utilisent des versions logicielles obsolètes et les utilisateurs ne sont jamais informés de l’existence de versions plus récentes permettant de corriger de graves failles de sécurité. Mais il existe aussi un autre risque : certains fournisseurs de services cloud, responsables du stockage des flux vidéo, négligent la protection des données et de la vie privée, allant parfois même jusqu’à ne pas chiffrer les données stockées et en transit. Une telle négligence se révèle problématique en cas d’attaque de type ‘ man-in-the-middle’, puisque l’attaquant a alors accès aux données enregistrées par votre caméra et pourrait même éventuellement en prendre le contrôle et parler à vos enfants.

Il appartient généralement à chaque utilisateur de modifier les mots de passe par défaut d’un appareil dès son achat, de bloquer les ports d’accès distant de ses routeurs, voire de les connecter à des réseaux Wi-Fi distincts afin de limiter la propagation en cas d’infection.

Ampoules et interrupteurs connectés

Aujourd’hui, la maison connectée comprend aussi des ampoules et des interrupteurs intelligents qui doivent être connectés en Wi-Fi afin d’être contrôlables à distance. Ces objets posent les mêmes problèmes que les autres appareils connectés en matière de sécurité (défaut de sécurité/ mise à jour de logiciel/ vulnérabilité permettant une prise en main à distance) et seules quelques solutions s’offrent aux utilisateurs. L’une de ces solutions consiste à s’informer sur les caractéristiques de sécurité des objets concernés, de s’assurer de la fiabilité des fabricants et de l’existence d’une politique de correction des failles de sécurité signalées. Il est aussi vivement recommandé de changer les mots de passe par défaut tout de suite après l’achat. En effet, certains moteurs de recherche, tels que Shodan, parcourent Internet à la recherche d’objets connectés associés à des certificats par défaut, ce qui permet aux attaquants d’y accéder facilement à distance.

Pourquoi parle-t-on autant de la sécurité des objets connectés ?

Traditionnellement, la sécurité concernait exclusivement les ordinateurs et les smartphones, devenus des cibles de choix pour les hackers, par leur essor et l’expansion de leurs parts de marché. Mais avec l’avènement des objets connectés et le manque, voire l’inexistence, de solutions de sécurité, les attaquants profitent de passerelles faciles d’accès qu’ils exploitent pour compromettre la sécurité de l’ensemble de nos réseaux domestiques, et pas seulement d’un simple appareil. Les mécanismes de sécurité classiques ne sont pas applicables aux objets connectés qui, contrairement aux autres systèmes d’exploitation, sont incompatibles avec l’installation de logiciels supplémentaires.

Par conséquent, la sécurité des objets connectés doit inclure deux technologies efficaces et distinctes : une détection anti-malware et une analyse des vulnérabilités. Sur le réseau, une solution de sécurité pour objets connectés doit vérifier que le trafic entrant (ou sortant) n’est pas malveillant ou corrompu et bloquer les malwares et les pages de phishing afin qu’ils n’atteignent pas l’appareil ciblé. Le module d’analyse des vulnérabilités doit régulièrement analyser les appareils connectés au réseau à la recherche de tout logiciel obsolète ou vulnérable, mais aussi des problèmes de configuration (p. ex. des ports Telnet ou SSH ouverts et accessibles via Internet, des mots de passe faibles, des exploits connus, etc.). Lorsque le module d’analyse des vulnérabilités a terminé son analyse des appareils connectés en local, un rapport complet doit indiquer les failles détectées (le cas échéant) et les mesures correctives à implémenter afin de corriger les problèmes.

Astuces pratiques pour la sécurité pour les objets connectés

1. S’informer. S’informer. Et encore s’informer.

Avant l’achat de tout objet connecté, informez-vous sur ses caractéristiques, sa politique de gestion des données collectées et vérifiez que le fabricant dispose d’une politique claire de sécurité et de mise à jour en cas de découverte de vulnérabilités de l’appareil. Un objet connecté doit certes être pratique et doté de fonctionnalités intéressantes, mais il doit avant tout être sécurisé et prendre soin de vos données personnelles.

2. Changer les mots de passe par défaut

Lorsque vous connectez un nouvel appareil à votre réseau domestique, la toute première chose à faire est de remplacer le mot de passe par défaut par un nouveau mot de passe entre 8 et 16 caractères composés de minuscules et de majuscules, de chiffres et de caractères spéciaux. Rappelez-vous qu’il existe un moteur de recherche, Shodan, qui cherche tous les objets connectés à Internet avec un mot de passe par défaut, ou sans mot de passe.

3. Segmenter son réseau

L’opération peut sembler compliquée, mais la configuration d’un réseau Wi-Fi distinct dédié aux objets connectés est une approche pertinente en matière de sécurité. Si quelqu’un venait à prendre le contrôle à distance d’un objet vulnérable qui est relié à votre réseau domestique, les autres appareils de la maison, contenant par exemple vos données personnelles, ne seraient pas affectés ou corrompus (p. ex. les ordinateurs portables, les disques durs connectés, NAS, etc.).

4. Mettre les logiciels à jour

Sur vos ordinateurs portables ou appareils mobiles, vous installez régulièrement les mises à jour du système et de sécurité. Il faut appliquer le même principe aux objets connectés. Les fabricants publient parfois des mises à jour et des correctifs de sécurité visant à empêcher les hackers de prendre facilement le contrôle de vos appareils et de vous nuire, il faut donc régulièrement visiter leurs sites Web pour récupérer les dernières mises à jour.