Il est indéniable que l’Internet des objets (IoT) est devenu une catégorie de produits en vogue, comme en témoigne le vaste assortiment d’offres IoT au récent CES – des téléviseurs, haut-parleurs et produits domotiques tels que les caméras et les thermostats aux réfrigérateurs et, croyez-le cela ou non, des miroirs. Si vous possédez déjà un appareil intelligent ou envisagez même d’en acheter un (ou plusieurs), sachez que chacun d’entre eux comporte des menaces pour la confidentialité et la sécurité, selon les experts de l’industrie de la sécurité.
Cette préoccupation a été soulignée récemment lorsque WikiLeaks a publié des documents en ligne affirmant que la CIA avait piraté des appareils intelligents, y compris des téléviseurs intelligents Samsung. Le piratage de ces téléviseurs a confirmé les pires craintes de quiconque était déjà nerveux à propos des microphones intégrés utilisés pour comprendre les commandes vocales des gens. Quiconque prend le contrôle de ces téléviseurs peut apparemment entendre tout ce que nous disons à proximité.
Pour sa part, Samsung a publié cette déclaration: "La protection de la vie privée des consommateurs et la sécurité de nos appareils sont une priorité absolue chez Samsung. Nous sommes au courant du rapport en question et examinons la question de toute urgence." La société a déclaré que le logiciel "malveillant" décrit par WikiLeaks a été installé via une clé USB physiquement connectée qui s’appliquait au micrologiciel des téléviseurs vendus en 2012 et 2013, "dont la plupart ont déjà été corrigés via une mise à jour du micrologiciel". Il a ajouté que, chez Samsung, "nous surveillons en permanence tout risque de sécurité" sur sa plate-forme de télévision intelligente et, "si nous en trouvons un, nous le traitons rapidement". Quiconque s’inquiète de l’utilisation des téléviseurs intelligents Samsung peut prendre des mesures pour être plus sécurisé, a-t-il déclaré, expliquant: «La meilleure action que les consommateurs peuvent prendre pour assurer la sécurité de tout appareil est de toujours garder leurs logiciels et applications à jour à tout moment.
Un nombre croissant de consommateurs expérimentent le concept de contrôle des appareils audiovisuels et domotiques via un hub intelligent quelconque, qu’il s’agisse de SmartThings de Samsung ou d’Amazon Echo, l’un des produits les plus vendus de la saison des fêtes. Après tout, c’est pratique et plutôt chouette de tout contrôler depuis son canapé tout en regardant un film ou un match de football. Après tout, pourquoi devrions-nous nous lever et traverser la pièce pour augmenter ou baisser le thermostat lorsque nous n’avons pas besoin d’une autre bière ou que nous devons faire une pause aux toilettes ?
Que vous utilisiez de tels appareils dans votre système de cinéma maison ou ailleurs dans la maison, il existe plusieurs façons de vous protéger contre les menaces à la vie privée et à la sécurité.
Danger, Will Robinson (ou quel que soit votre nom) ! Danger!
Selon Bryce Boland, directeur de la technologie pour l’Asie-Pacifique chez la société de cybersécurité FireEye, "les consommateurs doivent accorder une valeur beaucoup plus élevée à leur cybersécurité qu’ils ne le font aujourd’hui" car "les appareils que vous mettez sur un réseau domestique peuvent potentiellement exposer tous les appareils et les données sur le réseau aux criminels."
"Ces criminels peuvent exploiter cet accès pour accéder à votre compte bancaire, tenter de vous extorquer, utiliser vos appareils pour mener des attaques contre d’autres cibles ou infliger des dommages d’autres manières", a-t-il déclaré, ajoutant: "Les consommateurs doivent être conscients de ces des risques évolutifs, car s’ils ne le sont pas, ils seront exploités."
La cybersécurité personnelle est un «enjeu majeur» aujourd’hui, et elle «ne fera que gagner en importance dans les années à venir », a-t-il prédit. La plupart d’entre nous ont tendance à penser beaucoup plus à la sécurité de nos maisons qu’à la sécurité de nos appareils et de nos informations. Mais "entrer par effraction dans les maisons n’est pas très courant dans la plupart des endroits car c’est une activité à risque relativement élevé – les voleurs qui sont pris sont fréquemment poursuivis", a déclaré Boland.
Les cyberattaques, en revanche, présentent "un risque assez faible et ne sont souvent pas poursuivies en raison de la nature du crime et de sa nature internationale". Il n’y a tout simplement pas "de grandes solutions sur le marché aujourd’hui", a-t-il poursuivi en expliquant. Dans l’arène des entreprises, les entreprises ont tendance à préférer souscrire à des offres de sécurité qui «aident à combler les lacunes en matière de sécurité et à gérer les risques », mais «nous sommes loin de voir l’adoption généralisée de produits de sécurité personnelle efficaces sur le marché aujourd’hui ».
Les appareils intelligents que les fabricants expédient "doivent être sécurisés par défaut, prêts à l’emploi", car "si le consommateur n’a rien à faire pour que l’appareil fonctionne, il ne devrait rien faire pour que l’appareil fonctionne en toute sécurité". ", a-t-il déclaré, ajoutant:" Cela signifie que les fabricants d’appareils ne doivent pas utiliser de mots de passe codés en dur ou par défaut. "
Boland a poursuivi en disant que les fabricants d’appareils devraient également "s’assurer que les appareils qu’ils expédient peuvent être facilement entretenus et mis à jour". Les fabricants doivent utiliser cette capacité pour "remédier aux vulnérabilités nouvellement découvertes et aux nouvelles menaces". Malheureusement, la plupart d’entre eux utilisent aujourd’hui des bibliothèques de code externes. Cela signifie que "même si leur propre code est parfaitement sûr, leurs clients peuvent être exposés à des vulnérabilités qui sont découvertes dans ces bibliothèques externes", a-t-il expliqué.
Bien que les fabricants d’appareils "ne puissent pas fournir une sécurité parfaite", ce qu’ils peuvent faire, c’est "investir dans une équipe qui s’assure que leurs appareils sont aussi sécurisés que possible par défaut, et ils peuvent surveiller et répondre à la sécurité continue" de leur produit. Chaque fabricant doit disposer d’une équipe de personnes gérant la sécurité de ses produits passés, actuels et à venir tout au long du cycle de vie de ses produits. "Si les fabricants ne le font pas, ils devraient supposer que leurs produits seront compromis par des attaquants le plus tôt possible", a déclaré Boland.
Aujourd’hui, la plupart des fabricants n’ont même pas "d’équipes de sécurité efficaces et dédiées" parce que "l’économie n’est pas favorable à la sécurité", il s’agit donc souvent d’une "externalité de marché jusqu’à ce que les régulateurs s’impliquent", a-t-il déclaré. Il a prédit que "les gouvernements devront renforcer leur réglementation des fabricants d’appareils avant de voir une amélioration généralisée".
En attendant, dit-il, les consommateurs peuvent faire certaines choses pour se prémunir contre les violations :
1 Assurez-vous que vos appareils exécutent le dernier micrologiciel.
2 Utilisez des mots de passe forts et uniques sur tous vos appareils et comptes, y compris votre Wi-Fi.
3 Désactivez l’accès au réseau sur les appareils où il n’est pas nécessaire. Par exemple, si votre chaîne stéréo n’a pas besoin d’être en ligne, ne la connectez pas.
4 Assurez-vous que votre routeur domestique provient d’un fournisseur réputé et exécute une version actuelle de son logiciel sans vulnérabilités connues.
5 Utilisez un réseau distinct pour vos appareils mobiles et ordinateurs que pour vos appareils IoT. Certains routeurs disposent d’une fonctionnalité de réseau invité qui peut être utilisée pour les appareils qui ont besoin d’un accès à Internet mais qui n’ont pas besoin d’accéder à votre réseau domestique.
6 Utilisez uniquement des appareils de fabricants réputés qui publient des mises à jour.
7 Envisagez de désactiver le support/les comptes cloud sur les appareils où ils ne sont pas nécessaires.
8 Le réseau domestique d’aujourd’hui est presque aussi complexe que le réseau des petites entreprises d’il y a 10 ans. Si vous souhaitez faire un effort supplémentaire, vous pouvez installer un routeur de petite entreprise dans votre réseau domestique et utiliser des réseaux locaux virtuels (VLAN) pour segmenter chaque appareil dans son propre réseau, puis contrôler ce que chaque appareil peut faire. Cela peut améliorer à la fois les performances et la sécurité… mais cela s’accompagne d’une configuration initiale beaucoup plus compliquée.
Soyez prudent avec cet appareil, Eugene (ou qui que vous soyez)
Shagorika Dixit, directeur principal de Norton Consumer IoT Security chez Symantec, a convenu que les consommateurs devraient en effet se préoccuper des problèmes de sécurité et de confidentialité lorsqu’il s’agit d’appareils domestiques intelligents. En fait, lors de tests, Symantec "a trouvé des vulnérabilités dans 50 types différents d’appareils domestiques connectés, allant des thermostats intelligents aux hubs intelligents", a-t-elle déclaré.
Elle a ajouté: "Les consommateurs devraient être également préoccupés par tous les appareils connectés." En effet, les pirates peuvent accéder à une caméra intelligente, à une serrure intelligente ou à une variété d’autres appareils. "Bien que certains risques puissent sembler plus effrayants que d’autres, la plupart des appareils connectés présentent une forme de risque, qu’il s’agisse d’un cybercriminel accédant physiquement à un appareil ou de l’extraction d’informations personnelles", a-t-elle déclaré. Les consommateurs devraient donc prendre "des précautions pour s’assurer que TOUS les appareils connectés sont correctement protégés, c’est pourquoi Norton suggère de protéger les appareils au niveau du réseau", nous a-t-elle dit.
Alors que de plus en plus d’appareils connectés remplissent nos maisons, le nombre de points d’entrée permettant aux cybercriminels d’infiltrer nos gadgets et de voler des informations personnelles sensibles augmente également. Les pirates ont appris à tirer parti du fait que de nombreux consommateurs ne modifient pas les paramètres et les mots de passe par défaut de leurs appareils domestiques intelligents, et de nombreux appareils connectés ne sont pas encore fabriqués dans un souci de sécurité, a déclaré Dixit.
"Ne vous inquiétez pas. La situation est sous contrôle."
Les représentants des fabricants que nous avons contactés pour cette histoire ont admis qu’il existe des problèmes potentiels de confidentialité et de sécurité avec les appareils domestiques intelligents, mais ils ont déclaré que les consommateurs ne devraient pas trop s’inquiéter lorsqu’ils utilisent les produits de leur entreprise (bien sûr).
Des technologies telles que Smart ThinQ et Deep ThinQ de LG, associées au robot Hub du fabricant, "offriront de nouveaux niveaux de plaisir, de commodité et d’économies d’énergie" aux consommateurs, a déclaré John Taylor, vice-président des affaires publiques chez LG Electronics USA. "En même temps, nous sommes sensibles aux problèmes de confidentialité/sécurité", et LG est "fier de ses antécédents en matière de protection des informations personnelles des consommateurs dans le domaine de la télévision intelligente – et ce même engagement se répercute sur nos appareils connectés, comme eh bien", a-t-il dit.
Taylor nous a dit que "des mesures de sécurité et de confidentialité des données à la pointe de la technologie sont conçues dès le départ" avec les produits LG. "Cela dit, il s’agit d’un sujet brûlant qui, à juste titre, recevra une attention croissante à l’échelle de l’industrie à mesure que l’espace IoT continue d’évoluer", a-t-il déclaré.
Il a ajouté: "Une première étape consiste à éduquer les consommateurs sur les mesures qu’ils peuvent prendre pour sécuriser leurs appareils et leurs réseaux domestiques." À cette fin, a-t-il déclaré, LG travaille avec la Consumer Technology Association sur une campagne nationale de service public pour encourager les consommateurs à utiliser des mots de passe forts et fournir des conseils sur d’autres mesures qu’ils peuvent prendre pour accroître la sécurité de leurs réseaux et appareils. Taylor nous a dit qu’il n’était au courant d’aucune faille de sécurité avec les appareils domestiques intelligents de LG.
"Les consommateurs doivent être conscients, mais pas trop préoccupés, des dangers très réels qui existent, et il est de notre responsabilité en tant qu’industrie de gagner leur confiance", a déclaré Sol Hedaya, responsable de catégorie chez Merkury Innovations, fabricant de la nouvelle gamme Geeni de smart produits pour la maison qui comprend une gamme d’ampoules intelligentes, de caméras et de solutions d’alimentation.
"Alors que nous nous habituons à ce que tout ce qui nous entoure soit connecté à Internet, il y a de grands gains pour notre société mais aussi de réels dangers", a concédé Hedaya. "Les problèmes les plus courants que nous avons rencontrés dans le domaine de la maison intelligente concernent les intrus attaquant des appareils (en particulier des caméras) qui ont un mot de passe par défaut facile à deviner ou même pas de mot de passe du tout." Il a ajouté: "Tout appareil non protégé sur Internet peut rapidement être détecté et exploité, et devient souvent un véhicule involontaire pour de nouvelles attaques contre d’autres. En tant que tel, nous prenons la sécurité très au sérieux, y compris le cryptage de données AES de niveau militaire, les algorithmes de cryptage pendant l’authentification, les canaux cryptés HTTPS, et plus encore."
Jusqu’à présent, la société n’a eu qu’une distribution limitée de la nouvelle gamme Geeni, mais "aucune infraction n’a été signalée dans les appareils que nous avons", a-t-il déclaré.
Les autres constructeurs n’ont pas eu autant de chance. Dixit de Symantec a souligné l’attaque par déni de service distribué (DDoS) largement rapportée qui s’est produite en octobre, au cours de laquelle des pirates ont pu infecter un réseau d’appareils IoT pour supprimer plusieurs sites Web. Les pannes ont d’abord été signalées principalement sur la côte est des États-Unis, mais des sites européens ont également été touchés. Les sites Web infectés comprenaient ceux de Netflix et Twitter.
Par conséquent, tout comme dans les films, si un fabricant d’appareils vous dit de ne pas vous inquiéter parce qu’il contrôle la situation, prenez-le avec au moins un grain de sel. Et assurez-vous d’avoir pris autant de précautions que possible lors de la configuration de tout appareil domestique intelligent.