La sécurité des objets connectés est largement à revoir

D'après le consultant en sécurité SEC Consult et son analyse de centaines de produits connectés, si certains s'inquiètent de la sécurité de leurs données sur leur PC, ils devraient aussi se soucier de tout ce qui circule via ces petits appareils intelligents qui envahissent notre quotidien.

En utilisant deux moyens tous simples et légaux, analyse du firmware des appareils (en général sous GNU/Linux donc en accès libre) et recherche (scan) sur le web pour voir les appareils connectés, ils ont découvert que la protection des utilisateurs est assez limitée. Ils se sont appesantis sur l'analyse du chiffrement des clefs utilisées pour les connexions de type SSH et TLS, ces protocoles utilisant un duo de clefs pour les sécuriser.

La première est la clef publique, connue de tous, mais inutile si elle n'est pas accompagnée de la seconde, la clef privée, qui donne accès aux données. Avoir une clef personnelle et privée pour sécuriser une seconde clef semble une méthode plus que sûre, sauf quand la clef privée ne l'est pas tant que ça.

En allant plus loin dans leur recherche, ils se sont rendu compte que pour le protocole TLS, 3,2 millions d'appareils n'utilisent qu'un lot de 150 clefs privées différentes. En SSH, ce sont 80 clefs pour 0,9 million d'appareils. 230 clefs qui, une fois dans les mains d'un gars un peu doué, peuvent lui donner accès à tout et n'importe quoi. Comment s'en protéger ? Régénérer ces clefs si possible, utiliser des mots de passe forts, préférer une authentification à deux niveaux (comme beaucoup de services le proposent aujourd'hui) et n'activer l'administration à distance que si c'est réellement nécessaire. (source : Sophos)

Alors que la politique des grands groupes sur l'utilisation de nos données fait débat, il est malheureux de voir que les failles sont nombreuses pour qui veut aller chercher des informations. La preuve en est avec VTech qui vient de se faire hacker une base de données via son application Learning Lodge. Rien de grave, juste 4,8 millions de comptes partis dans la nature avec nom, prénom, adresse, mail, mot de passe (chiffré en MD5 et facilement récupérable), question secrète plus sa réponse, adresse IP, historique des téléchargements, noms, prénoms et âge des enfants et enfin photos des parents et enfants ainsi que les log de leurs discussions.

Trois fois rien quoi (vous pouvez d'ailleurs vérifier si vous faites partie du lot sur le site Have I been Pwned ?). Du coup, si on s'inquiète de ce qui est analysé par le système d'exploitation, il faudrait aussi voir plus loin et comprendre que toute connexion peut aller dans les deux sens. Avec de plus en plus de produits connectés et un marché juteux qui va en créer encore plus, il va falloir apprendre à se renseigner avant de s'équiper. Le problème est que tout le monde n'a pas les compétences (informatique) pour comprendre les risques de tout cet écosystème, ce qui veut dire que, malheureusement, nous n'avons pas fini de voir ce genre d'incident se reproduire. (source : The Hacker News)