Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé objets connectés. Afficher tous les messages
Aucun message portant le libellé objets connectés. Afficher tous les messages

vendredi 30 août 2019

Piratées, les enceintes connectées pourraient être une menace pour leurs utilisateurs


Piratées, les enceintes connectées pourraient être une menace pour leurs utilisateurs

Elles se démocratisent, et cela donne aux hackers potentiels un pouvoir d'autant plus important. Aujourd'hui, les enceintes connectées se placent dans presque toutes les pièces de la maison. Mais que se passerait-il si une personne bien équipée, mais mal intentionnée, en prenait le contrôle ?
 


WiFi, objets connectés, IoT, Hackers,


Dans ce cas, la personne pourrait mener une attaque, au sens littéral du terme : le 11 août 2019, la conférence Defcon a notamment expliqué que « un attaquant pourrait développer un malware visant à émettre des sons très élevés, causant des effets plus ou moins graves sur les propriétaires de ces enceintes ».


Des dommages humains et matériels


C'est un chercheur spécialiste en cybersécurité, Matt Wixey, qui alerte sur le danger que peuvent représenter les appareils électroniques pour leurs propriétaires dans le cas d'un piratage. Selon lui, l'attaque la plus évidente consisterait en un son très élevé, endommageant l'ouïe de la personne. Mais il va aussi plus loin, affirmant que l'utilisation de fréquences en dehors de l'audible pourraient provoquer des acouphènes, et même induire des changements psychologiques chez la personne ciblée.

Il souligne que « les émanations acoustiques ont prouvé leurs effets sur l'humain, autant d'un point de vue physiologique et psychologique ». Durant la guerre en Irak, lors d'interrogatoires, des militaires américains avaient même utilisé... Du heavy metal (du Metallica, pour être précis). La CIA elle-même a été accusée d'avoir infligé de la torture auditive. Le bruit en tant qu'arme est donc bien connu.

Une minorité d'appareils concernés


L'équipe de Matt Wixey a aussi mesuré la température que pouvaient atteindre ces enceintes. Résultat : quatre ou cinq minutes après le début du piratage, l'appareil avait émis suffisamment de chaleur pour que ses composants internes aient commencé à fondre. Cela pose ainsi des questions de sécurité concernant d'éventuels courts-circuits.

Ces données sont d'autant plus inquiétantes que Matt Wixey qualifie l'écriture d'un logiciel malveillant d'« étonnamment simple ».

Son étude ne s'est cependant pas cantonnée aux enceintes connectées. Son équipe a aussi testé d'autres appareils numériques du quotidien : un ordinateur portable, un smartphone, une enceinte Bluetooth ainsi qu'un casque audio de type circum-auriculaire. Matt Wixey admet qu'une minorité de ces appareils pourrait effectivement être reconvertie en « arme acoustique ». A priori, les enceintes connectées font partie des rares objets à pouvoir subir cette reconversion. Concernant justement ces dernières, l'étendue exacte de leur capacité de nuisance reste globalement floue. Mais les recherches de Matt Wixey constituent une incitation pour les constructeurs à revoir leurs normes de sécurité à la hausse.

Source : TechRadar

lundi 24 août 2015

Pirater le compte Gmail du voisin au travers… de son frigo connecté



Pirater le compte Gmail du voisin au travers… de son frigo connecté
 
DR

Les connexions chiffrées de certains appareils réfrigérants de Samsung sont mal configurées et permettent de réaliser des attaques de type « Man in the middle ».

A l’occasion de la conférence DEF CON 23, qui s’est déroulée début août à Las Vegas, deux chercheurs en sécurité de la société Pen Test Partners ont découvert une jolie faille sur un réfrigérateur connecté de marque Samsung. En occurrence le RF28HMELBSR, lui-même digne successeur du RF4289HARS. Ces sigles ne vous diront sans doute rien, car ces modèles ne sont pas disponibles en France. Il s’agit de réfrigérateurs multi-portes de type américain plutôt luxueux (comptez 3.600 dollars) avec – comble du chic - un écran tactile qui permet de regarder la télé, surfer sur le web, lancer une playlist musicale, et même… afficher votre calendrier Google.
Tout cela est plutôt sympa, me direz-vous. Le problème : lorsque l’appareil établit des connexions chiffrées en SSL/TLS, il ne vérifie par l’authenticité des certificats. Quelqu’un qui se trouve sur le même réseau pourrait donc assez facilement usurper l’identité du site Google et réaliser une attaque de type « Man in the middle » pour intercepter les données de connexion. Par exemple en installant un faux point d’accès Wifi à proximité.

L’appli mobile en ligne de mire

Bizarrement, Samsung ne tombe pas dans ce piège de débutant lorsqu’il s’agit de ses propres services. Ainsi, lorsque le frigo se connecte aux serveurs de mise à jour de Samsung, l’authenticité des certificats est bien vérifiée, rendant impossible ce type d’interception. En revanche, les deux hackers ont peut-être mis la main sur une autre faille, cette fois au niveau de l’appli mobile compagnon. Celle-ci permet de réaliser certaines tâches de configuration à distance, déporter l’affichage et même transférer un coup de fil (« Salut, je t’appelle de mon frigo… »).
Evidemment, les communications entre le smartphone et le frigo sont chiffrées, mais les chercheurs estiment avoir trouvé le certificat dans le code de l’application mobile. Mais le fichier est protégé par un (bon) mot de passe. « Nous pensons avoir trouvé le mot de passe du certificat dans le code client [i.e. celui de l’application mobile, ndlr], mais il est masqué et nous n’avons pas encore réussi à le décoder », explique l’un des chercheurs dans une note de blog. Affaire à suivre…

Source. :

jeudi 7 août 2014

Les objets connectés sont des passoires en matière de sécurité



Connexions Bluetooth bavardes, chiffrement de piètre qualité, politiques de protection des données personnelles inexistantes… Les accessoires connectés ont tendance à vous mettre à nu.


Votre dernière course en forêt, vos déplacements à l’étranger, vos phases de sommeil, votre consommation en nicotine ou alcool, vos cycles de menstruations (si vous êtes une femme), votre pression artérielle, votre activité sexuelle… Pour toute activité personnelle, il y a désormais une application mobile et un accessoire connecté pour capter ces informations, comme par exemple le Nike Fuel Band. Et les utilisateurs en raffolent, si l’on croit les analystes. Selon Pew Research Center, plus de 60 % des Américains utilisent ces outils pour améliorer leur performances sportives ou préserver leur bonne santé. D’ici à 2018, le nombre de ces accessoires connectés devrait dépasser les 485 millions d’unités. Un marché en plein boom que tous les grands acteurs cherchent à accaparer, à commencer par Google et Apple.

Mais ce marché est encore très balbutiant, et notamment en matière de protection de données personnelles. Symantec vient de publier, il y a quelques jours, un rapport d’analyse qui évalue le niveau de sécurité de tous ces engins. Résultat: la plupart des applications révèlent des failles flagrantes permettant à des tiers de récupérer des données à l’insu des utilisateurs. Une majorité des bracelets peuvent être localisés grâces à leurs puces Bluetooth. Activés en permanence, ils sont plutôt bavards et émettent une adresse physique de type MAC, ainsi que des identifiants divers et variés, qu’il est aisé de capter dans un rayon de 100 mètres.
C’est d’ailleurs ce que les analystes de Symantec ont fait: ils ont créé des sniffeurs Bluetooth basés sur une carte Raspberry Pi, qu’ils ont disséminés aux abords d’une compétition sportive, ou trimballés dans un sac à dos en plein milieu d’un centre commercial. Certes, ces données ne permettent pas d’identifier une personne, mais c’est un premier pas…

Des mots de passe transmis en clair

Autre problème: parmi les applications qui utilisent des services cloud pour stocker ou traiter les données captées, 20 % transmettent les identifiants en clair, sans aucun chiffrement. Parmi les 80 % restantes, certaines appliquent aux identifiants des fonctions de hachage de faible protection comme MD5, qui peut facilement être craqué par les cybercriminels. Dans un certain nombre de cas, la gestion de sessions laisse également à désirer, permettant par exemple de deviner ou de calculer des identifiants et ainsi d’accéder à des comptes utilisateurs. Enfin, plus de la moitié des applications (52 %) n’apportent aucune information sur la manière dont toutes ces données sont traitées et stockées, alors que c’est obligatoire dans bon nombre de pays. Et quand il existe un document d’information, celui-ci est souvent très vague. On peut donc douter du sérieux de ces fournisseurs en matière de protection des données personnelles. 
En somme: si toutes ces nouveaux appareils et applications semblent bien pratiques, il est conseillé de regarder en détail leur fonctionnement, histoire de pas se faire avoir !

REF.:

lundi 20 janvier 2014

Objets connectés : la sécurité à peine une option ?

Sécurité : D’ici 2020, Internet devrait accueillir 50 milliards d’objets connectés, dont des montres, des voitures ou même des brosses à dents. De quoi rêver une société connectée ? Ce qui est certain selon Bruce Schneier ce sont les failles de sécurité et la complexité à diffuser des correctifs.
Le salon de l’électronique, le CES 2014, a ouvert ses portes cette semaine. Et les grands noms de l’industrie numérique s’y bousculent pour présenter leurs dernières nouveautés, en particulier dans le domaine des objets connectés ; les « wearables » comme les appellent déjà certains analystes.
Brosse à dents, bracelets, montres… La déferlante d’objets dits intelligents (ou juste connectables à un ordinateur et/ou Internet) est ainsi annoncée. A la clé, la promesse, entre autres, d’une vie meilleure et des progrès y compris pour le monde professionnel.
Les mauvaises pratiques logicielles des industriels 
« Les wearables ne sont pas seulement un phénomène pour les consommateurs, ils ont également le potentiel de changer la manière dont les entreprises et leurs salariés exercent leurs activités » assure Forrester qui voit ainsi ces équipements se généraliser en entreprise d’ici 2020.
Tout est donc pour le mieux dans le meilleur des mondes. Pas si vite. Rabat-joie, l’expert reconnu en sécurité, Bruce Schneier, vient quelque peu noircir le tableau, bien trop idyllique, dans une tribune publiée sur Wired.
Car pour lui, l’univers de l’Internet des objets, tel qu’il prend forme, s’avère en vérité largement non-sécurisé et aussi souvent impossible à patcher. Selon Bruce Schneier, l’Internet des objets n’est pas sans lui rappeler le milieu des années 90, époque à laquelle les PC ont atteint des niveaux de crise en matière d’insécurité.
« Logiciels et systèmes d’exploitation étaient criblés de failles de sécurité et il n’existait pas de moyens efficaces pour les corriger. Les entreprises s’efforçaient de garder secrètes ces vulnérabilités et de ne pas diffuser rapidement des mises à jour de sécurité » se remémore l’expert. 
La sécurité, une préoccupation pour personne 
Or, pour lui, l’informatique embarquée en est justement à ce point de crise. Mais en pire puisque contrairement aux années 90, tous ces nouveaux équipements sont connectés à Internet. Et,juge Bruce Schneier, « les industries produisant ces terminaux sont encore moins capables de résoudre le problème que l’étaient les industriels du PC et du logiciel ».
Ces risques de sécurité liés à l’Internet des objets et la complexité à apporter des solutions sous forme de correctifs tiennent à la nature même du marché des systèmes embarqués. Pour des raisons de rentabilité, de mauvaises pratiques et du recours à la sous-traitance (ODM), peu d’attention est portée à robustesse des couches logicielles utilisées dans ces terminaux.
« Le problème avec ce processus c’est qu’aucune entité n’a d’incitation, d’expertise ou même la capacité de patcher le logiciel une fois qu’il a été livré. Le fabricant de puce est occupé à fournir la prochaine version de sa puce et l’ODM est occupé lui à mettre à jour son produit afin qu’il fonctionne avec cette nouvelle puce. Maintenir les anciens produits et processeurs n’est pas une priorité » commente Bruce Schneier.
En clair, le développement de l’Internet des objets, tel qu’il s’annonce, n’aura assurément rien d’idyllique pour l’expert en sécurité. A moins que des mesures soient prises dès à présent, notamment afin de mettre la pression sur les fournisseurs de systèmes embarqués et que la sécurité soit véritablement un composant natif de ces technologies.