Comment protéger les téléviseurs intelligents et les appareils connectés des pirates

Smart Oven piraté

DEF CON et Black Hat ne sont pas des rappeurs avec des invités sur le nouvel album de Jay-Z; il s'agit d'une paire de conférences sur la sécurité dont vous n'avez probablement jamais entendu parler ou auxquelles vous n'avez jamais prêté attention. Vous voudrez peut-être changer cela cette année. Une grande partie de ces conférences sont des présentations par des professionnels de la sécurité (c'est-à-dire des «hackers») qui passent leurs journées à percer dans tout ce qui est numérique, et les agendas de cette année sont remplis de démonstrations d'exploits contre la technologie de la maison connectée. L'explosion d'appareils connectés à Internet autrement banals - thermostats, ampoules, fours, téléviseurs, la liste est longue - a tout le monde, des enfants de script aux agences de renseignement, tout aussi enthousiasmé par les nouvelles voies d'attaque que ces gadgets et appareils ouvrent.Tout appareil qui peut parler à un autre appareil ou à Internet peut potentiellement être piraté pour faire quelque chose d'inattendu par son créateur ou son propriétaire, et cela sera bientôt démontré publiquement à Black Hat #Fouladi et DEF CON.

Pourquoi s'inquiéter?

Certes, un pirate informatique s'attaquant à votre grille-pain connecté à Internet peut ne pas être lucratif de la même manière que le vol de votre identité ou de vos informations bancaires peut l'être, mais l'argent n'est pas toujours le motif des cercles de piratage. Bon nombre des attaques les plus dommageables contre les ordinateurs ont été perpétrées pour des raisons de choc, de crédibilité souterraine ou de réputation professionnelle. Brûler une maison en piratant des appareils connectés vaudrait beaucoup plus de crédibilité que de pwning l'ordinateur de grand-mère. Il s'agit certes du pire des cas, mais il existe d'innombrables façons d'utiliser une maison connectée compromise pour gâcher votre journée. Un babyphone piraté pourrait être utilisé par des cambrioleurs potentiels pour savoir quand vous n'êtes pas à la maison, le script kiddie d'à côté pourrait couper votre chauffage au milieu de l'hiver et faire éclater vos tuyaux en piratant votre thermostat connecté à Internet,ou éteignez votre réfrigérateur compatible smart-grid et gâtez toute la nourriture. Il y a quelques années, des attaques de validation de principe contre des imprimantes laser en réseau compromises ont pu leur faire brûler du papier. À l'époque où j'avais des commutateurs X10 automatisés dans toute la maison, des amis passaient en voiture et jouaient avec les lumières de ma maison, juste pour le plaisir. Les exploits contre un successeur du X10, Z-Wave, seront bientôt démo chez BlackHat et DEF CON.

Le point: ce n'est pas que des trucs de chapeau en aluminium; il existe de nombreuses attaques plausibles contre une maison connectée. Contrairement au facteur de gêne lorsqu'un ordinateur est piraté, il peut y avoir des conséquences physiques réelles lorsque des appareils connectés non sécurisés sont exploités.

Non sécurisé par défaut

La vraie sécurité consiste à équilibrer le risque et la récompense

La sécurité est souvent une réflexion après coup dans la conception des appareils connectés. Ce n'est pas quelque chose dont la plupart des consommateurs sont informés, et il est souvent difficile de le décrire sous forme de puces ou de cases à cocher («Sécurité: Oui»). De plus, de nombreux fabricants de l'ancienne gamme qui entrent dans l'espace des appareils connectés n'ont pas de connaissances institutionnelles en matière de sécurité; ce n'est pas historiquement un problème pour, disons, les réfrigérateurs. Dans le bras de fer du développement de produits entre la sécurité et la commodité, la sécurité est généralement le perdant. Un bon exemple peut être vu lorsque vous associez votre téléphone à un casque Bluetooth ou à votre voiture. Vous serez souvent invité à entrer un code PIN, mais il s'agit généralement de zéros (en fait, il est si courant que certains nouveaux appareils essaient simplement tous les zéros et ne demandent jamais de code PIN du tout si cela fonctionne).Le code PIN de couplage est une fonction de sécurité intégrée à Bluetooth pour aider à empêcher un attaquant d'interférer d'une manière qui permet d'écouter plus tard la connexion cryptée, mais il a été efficacement neutralisé par les nombreux fabricants qui choisissent de ne pas l'utiliser au nom de la commodité. Une attaque contre un casque peut simplement entraîner des potins juteux de vos appels téléphoniques lors de la prochaine fête de quartier, mais les conséquences d'une attaque d'appariement pourraient être bien pires avec quelque chose comme une serrure de porte ou un ouvre-porte de garage.Une attaque contre un casque peut simplement entraîner des potins juteux de vos appels téléphoniques lors de la prochaine fête de quartier, mais les conséquences d'une attaque d'appariement pourraient être bien pires avec quelque chose comme une serrure de porte ou un ouvre-porte de garage.Une attaque contre un casque peut simplement entraîner des potins juteux de vos appels téléphoniques lors de la prochaine fête de quartier, mais les conséquences d'une attaque d'appariement pourraient être bien pires avec quelque chose comme une serrure de porte ou un ouvre-porte de garage.

Que faire?

Nous pourrions vous avoir tellement effrayé maintenant que vous êtes tenté de vivre simplement la vie luddite; soyez assuré que ce n'est pas notre intention. Nous aimons l'idée de la maison connectée, mais des mesures raisonnables doivent être prises pour vous protéger contre son utilisation contre vous.

Sécurisez votre réseau

Cela devrait aller de soi, mais sachez comment sécuriser votre réseau WiFi. Il n'y a presque aucune excuse pour exécuter un réseau WiFi ouvert non chiffré. Si votre routeur a plus de quelques années, il y a de fortes chances que ses mécanismes de sécurité soient probablement exploitables et qu'il devrait être remplacé. Les nouveaux routeurs WiFi ont des capacités de réseau invité intégrées qui peuvent isoler les appareils non approuvés les uns des autres et du reste de votre réseau - une fonctionnalité utile pour la plupart des appareils qui n'ont besoin que d'un accès Internet et n'ont pas besoin de parler à d'autres appareils. Une configuration supplémentaire peut être nécessaire pour sécuriser correctement les appareils qui doivent se parler (comme les contrôleurs d'automatisation et les caméras de sécurité), mais il est possible de limiter cette communication sans mettre à nu le reste du réseau de votre maison.

Sachez ce qu'il y a dans votre maison

Tenez un inventaire de vos appareils et autres appareils connectés (y compris les noms des fabricants et les numéros de modèle). Chaque fois que vous apportez un nouveau gadget à la maison, mettez à jour la liste. Renseignez-vous sur certains principes de sécurité de base avant d'accueillir de nouveaux appareils connectés dans votre maison. Comment l'appareil se connecte-t-il (Bluetooth, WiFi, GSM, quelque chose de propriétaire)? S'il est contrôlable par une application pour tablette ou un ordinateur, comment fonctionne le processus d'association? Existe-t-il un code PIN ou un mot de passe? Le processus est-il chiffré? Comment fonctionnent les mises à jour et pendant combien de temps seront-elles fournies? Ces informations doivent être disponibles auprès des fabricants, soit publiées sur leurs sites Web dans les spécifications techniques, soit en contactant le support client. Si un fabricant ne peut pas ou ne veut pas répondre à ces questions à votre place, votez avec votre portefeuille et emportez votre argent ailleurs.

Cuisine domestique connectée

Les appareils qui, comme par magie, «fonctionnent» sans aucun type de processus d'association sécurisé ou de cryptage impliqué peuvent être mûrs pour le piratage. La vraie sécurité consiste à équilibrer le risque et la récompense; la quantité de dommages qui pourraient être causés par une personne exploitant une barre de son Bluetooth ou une ampoule LED compatible WiFi est probablement assez minime par rapport aux avantages d'avoir de telles choses. Le script kiddie à côté pourrait peut-être vous harceler à propos de votre fétiche de Justin Bieber ou exécuter un spectacle de lumières impromptu à votre guise, mais ce n'est pas la fin du monde. D'un autre côté, les choses qu'un méchant pourrait faire avec des appareils connectés plus gros, un chauffage connecté à Internet et des systèmes de sécurité méritent certainement une attention particulière.

Garder à jour

Configurez un calendrier régulier pour rechercher les mises à jour et les exploits pour les éléments de votre liste d'appareils connectés. Certains appareils peuvent se mettre à jour automatiquement; encore mieux! Les fabricants bien élevés devraient fournir des mises à jour de sécurité pendant des années, mais d'autres appellent cela une fois qu'il est expédié et passer au projet suivant. Faites le tour de Google pour les exploits bien connus contre les appareils connectés de votre maison. Si vous en trouvez et que le fabricant n'a pas fourni de mises à jour qui les corrigent, il est peut-être temps de retirer cet appareil particulier. Parfois, cela vaut le risque de continuer à utiliser un appareil exploitable, mais il vaut mieux être informé.

À la fin de la journée, la maison connectée est là pour rester. Tout comme les vagues précédentes de l'informatique domestique et mobile, il y aura forcément des difficultés croissantes alors que les fabricants se frayent un chemin à travers la sécurité. Nous espérons que davantage de fabricants d'appareils connectés prendront la sécurité au sérieux, avant que les participants moins savoureux de Black Hat et DEF CON ne commencent à jouer avec vos nouveaux jouets.