L'Internet des objets est très prometteur. Chaque appareil avec lequel nous interagissons est mis en réseau dans une certaine capacité, apportant à tout le monde une technologie de maison intelligente bon marché. Ce n'est qu'une des possibilités. Eh bien, malheureusement, aussi excitant que puisse paraître un monde entièrement en réseau, l'Internet des objets est constamment et terriblement peu sûr.
Un groupe de chercheurs en sécurité de l'Université de Princeton affirme que l'Internet des objets est si terriblement peu sûr que même le trafic réseau crypté est facilement reconnaissable.
Y a-t-il un fondement à leur affirmation, ou s'agit-il d'un autre élément phare de l'IdO « standard » ? Jetons un coup d'œil.
Le problème est que les appareils individuels ont des profils de sécurité individuels. Et certains paramètres de sécurité sont intégrés à l'appareil. Cela signifie que les utilisateurs finaux ne peuvent pas modifier les paramètres de sécurité.
Paramètres identiques pour des milliers de produits correspondants.
Vous pouvez voir l'énorme problème de sécurité que cela représente.
Combiné à un malentendu général (ou est-ce une pure ignorance ?) quant à la facilité avec laquelle il est possible de s'approprier un appareil IoT pour des activités néfastes, et il y a un véritable problème mondial à portée de main.
Par exemple, un chercheur en sécurité, lors d'une conversation avec Brian Krebs, a raconté qu'il avait vu des routeurs Internet mal sécurisés utilisés comme proxy SOCKS, annoncés ouvertement. Ils ont émis l'hypothèse qu'il serait facile d'utiliser des webcams basées sur Internet et d'autres appareils IoT pour les mêmes fins, et une myriade d'autres fins.
Et ils avaient raison.
La fin de 2016 a vu une massive Attaque DDoS. « Énorme », dites-vous ? Oui :650 Gbit/s (c'est environ 81 Go/s). Les chercheurs en sécurité d'Imperva qui ont repéré l'attaque ont noté, grâce à l'analyse de la charge utile, que la majorité de l'énergie provenait d'appareils IoT compromis. Surnommé "Leet" d'après une chaîne de caractères dans la charge utile, il s'agit du premier botnet IoT à rivaliser avec Mirai (l'énorme botnet qui ciblait le célèbre chercheur en sécurité et journaliste, Brian Krebs).
Le document de recherche de Princeton, intitulé A Smart Home is No Castle [PDF], explore l'idée que "les observateurs passifs du réseau, tels que les fournisseurs de services Internet, pourraient potentiellement analyser le trafic du réseau IoT pour déduire des détails sensibles sur les utilisateurs". Les chercheurs Noah Apthorpe, Dillon Reisman et Nick Feamster examinent "un moniteur de sommeil Sense, une caméra de sécurité Nest Cam Indoor, un commutateur WeMo et un Amazon Echo".
Leur conclusion ? Les empreintes digitales du trafic de chacun des appareils sont reconnaissables, même lorsqu'elles sont chiffrées.
L'article de Princeton suppose qu'un attaquant renifle (intercepte) des paquets (données) directement à partir d'un FAI. Leur analyse provient directement des métadonnées des paquets :en-têtes de paquets IP, en-têtes de paquets TCP et débits d'envoi/réception. Quel que soit le point d'interception, si vous pouvez accéder aux paquets en transition, vous pouvez tenter d'interpréter les données.
Les chercheurs ont utilisé une stratégie en trois étapes pour identifier les appareils IoT connectés à leur réseau de fortune :
Cette stratégie a révélé que même si un appareil communique avec plusieurs services, un attaquant potentiel "n'a généralement besoin que d'identifier un seul flux qui encode l'état de l'appareil". Par exemple, le tableau ci-dessous illustre les requêtes DNS associées à chaque flux, mappées à un appareil particulier.
Les résultats de la recherche reposent sur plusieurs hypothèses, certaines spécifiques à l'appareil. Les données du moniteur de sommeil Sense supposent que les utilisateurs « n'arrêtent d'utiliser leurs appareils qu'immédiatement avant de dormir, que tout le monde dans la maison dort en même temps et ne partage pas leurs appareils, et que les utilisateurs ne laissent pas leurs autres appareils fonctionner pour effectuer des tâches réseau. - des tâches intensives ou des mises à jour pendant leur sommeil."
BII estime que d'ici 2020, il y aura 24 milliards d'appareils IoT en ligne. La liste des principales vulnérabilités IoT de l'Open Web Application Security Project (OWASP) [URL brisée supprimée] est la suivante :
L'OWASP a publié cette liste en 2014 - et elle n'a pas vu de mise à jour depuis car les vulnérabilités restent les mêmes . Et, comme le rapportent les chercheurs de Princeton, il est surprenant de voir avec quelle facilité un observateur passif du réseau pourrait déduire le trafic crypté de la maison intelligente.
Le défi consiste à déployer des solutions VPN IoT intégrées, ou même à convaincre les fabricants d'appareils IoT que davantage de sécurité en vaut la peine (par opposition à une nécessité).
Une étape importante consisterait à établir une distinction entre les types d'appareils. Certains appareils IoT sont intrinsèquement plus sensibles à la confidentialité, comme un appareil médical intégré par rapport à un Amazon Echo. L'analyse n'a utilisé que les taux d'envoi/réception du trafic crypté pour identifier le comportement des utilisateurs - aucune inspection approfondie des paquets n'est nécessaire. Et bien que des fonctionnalités de sécurité intégrées supplémentaires puissent avoir un impact négatif sur les performances des appareils IoT, la responsabilité incombe aux fabricants de fournir certaines semblant de sécurité pour les utilisateurs finaux.
Les appareils IoT sont de plus en plus omniprésents. Les réponses aux questions sur la relation à la vie privée ne sont pas faciles à obtenir, et des recherches comme celle-ci illustrent parfaitement ces préoccupations.
Avez-vous accueilli les appareils intelligents pour la maison et l'IdO dans votre vie ? Avez-vous des inquiétudes concernant votre vie privée après avoir vu cette recherche ? Quelle sécurité pensez-vous que les fabricants devraient être obligés d'installer dans chaque appareil ? Faites-nous part de vos réflexions ci-dessous !
