Archives de catégorie : Objets Connectés

Les objets connectés sont le plus souvent la cible de piratage dû au fait de leur faible protection.

Sécurité informatique : des sex-toys pourraient actuellement être ciblés par une vague de cybercriminalité

Récemment une expérience a été réalisé par des spécialistes de la sécurité informatique du groupe SecuLabs sur des objets sexuels connectés.

L’objectif de cette expérience consistait à prendre à distance le contrôle de sex-toys à l’insu de son utilisateur. Ce travail a permis de démontrer qu’il est possible pour des pirates informatiques de récolter des données importantes qu’ils peuvent monnayer par la suite sur le marché de la cybercriminalité.

Cet article va aussi vous intéresser : Les sites pornographiques et la sécurité de l’utilisateur : 10 habitudes à adopter

« Le sex-toy connecté, c’est clairement une nouvelle tendance » note Tristan Barras, directeur de KissKiss.ch, « Ce sont des jouets qu’on peut utiliser à distance, courte ou longue. ».

« Cela intéresse les clients, surtout ceux qui sont dans une relation à distance » a observé de son côté Thomas Tetzlaff, le directeur général de de Magic X.

Dans un certain sens cette pratique est connue voir tendance. Le problème c’est qu’elle comporte malheureusement des risques. Grâce à la démonstration effectuée par la société de sécurité informatique SecuLabs, il a fallu seulement quelques minutes pour que le directeur général de la société arrive à prendre le contrôle d’un objet sexuel connecté et cela sans même que l’utilisateur ne puisse s’en rendre compte.

« J’ai besoin de deux équipements, un laptop et un téléphone qui va simplement utiliser l’application qui est livrée avec le sex-toy. C’est assez facile, il y a peu de technicité », commente Dominique Vidal.

Si la sécurité informatique des sex-toys doit être noter selon ces spécialistes, il serait à hauteur de 0 sur toutes les échelles de notations. Car les dysfonctionnements sont assez flagrants.

Les outils tels que l’anneau pénien, connu sous l’appellation de The Cock Cam. C’est un appareil qui est équipé d’une caméra et de micro, peut permettre de filmer et même de photographier.

« Cet appareil dispose de fonctionnalités avancées. D’un point de vue sécurité, s’il fallait donner une note entre 0 et 10, il serait quasiment à 0. Il y a de gros dysfonctionnements » note Dominique Vidal, le fondateur de SecuLabs SA

L’entreprise qui commercialise ces appareils en question n’a pas souhaité se prononcer sur les vulnérabilités découvertes. De ce fait Dominique Vidal prévient les utilisateurs des risques potentiels. « L’utilisation typique, ce serait un chantage aux images capturées à votre insu. Vous recevez un email du type: je vous ai surpris avec votre webcam en train de faire des choses qui ne sont pas très avouables, veuillez payer telle rançon, sous tels délais et à telle adresse en bitcoins. ».

Pour le directeur exécutif du centre pour la confiance numérique Olivier Crochat de l’EPFL, le risque est bel et bien réel et qu’il ne faut pas le négliger. « Une attaque contre la base de données ou les services du fournisseur. Et là, d’un coup, une personne mal intentionnée va avoir accès à une multitude d’adresses électroniques, de photos ou de communications qui n’ont pas été protégées. Dans le cas d’un sex-toys connecté par exemple, le nombre de personnes avec lesquelles l’utilisateur a partagé son compte, ce qui pourrait poser un problème pour les personnes en couple. » note ce dernier.

Il ajoute par ailleurs que si ce risque devient de plus en plus grand et il est aussi permanent. En effet on ne peut pas nier le fait que le marché actuel est totalement inondé par ce genre de jouets connectés vendus à bas prix.

Ce point de vue à d’ailleurs partagé par le directeur de ZENdata qui déclare de son côté que : « Les gens qui ont créé ces sex-toys ne sont experts ni en objets connectés, ni en internet, ni en cybersécurité. ».

Pour les utilisateurs qui sont quand même têtus et qui veulent malgré tout essayer ces outils connectés, Steven Meyer conseille quelque précepte suivant : « Mieux vaut partir avec un produit d’une marque connue qui aura peut-être investi de l’argent, de la recherche et du développement pour le protéger correctement. ». Il conclura donc en ces termes : « Si on donne un accès à un tiers, il faut avoir confiance en cette personne. En d’autres termes, éviter de donner un accès à son rendez-vous Tinder le premier soir, car cette personne aura ensuite un accès permanent. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Internet des objets et cybersécurité : une question de dépendance

Les infrastructures industrielles font aujourd’hui face à une situation très difficile à gérer.

En effet, leur grande numérisation les expose continuellement aux attaques informatiques qui continuent de se multiplier de jour en jour. On peut nettement prendre le cas de ce qu’a subi Colonial Pipeline ou encore JBS. Des situations qui ont démontré à quel point l’industrie 4.0 est vulnérable. Et la situation risque de s’empirer les prochains mois. Les solutions ont toujours été les mêmes cependant, il semblerait que les choses ne soient pas aussi simples.

Cet article va aussi vous intéresser : Internet des objets : et si c’était la nouvelle faille de sécurité du secteur la santé

Dans ce contexte, les spécialistes en la matière continuent de prêcher une réalité bien évidente aujourd’hui. La sécurité informatique doit faire partie de manière intrinsèque au développement de l’internet des objets en industrie. La raison est belle et bien évidente, les cyberattaques contre les objets connectés dans le secteur industriel causent beaucoup plus de dégâts que dans d’autres secteurs. Et ce ne sont pas les cas d’exemple qui manquent.

 « Les attaques de cybersécurité contre les solutions IoT industrielles peuvent avoir de graves conséquences allant jusqu’à des interruptions complètes des services pendants plusieurs jours, des pertes matérielles, voire humaines. En effet, les appareils IoT dans l’industrie n’enregistrent pas que des données sensibles et hautement confidentielles, ils contrôlent les actifs de production. Leur sécurité totale est donc la condition préalable à l’adoption de l’IoT dans les environnements industriels. Heureusement, la sécurité informatique est très avancée aujourd’hui dans ce domaine. Les experts ont identifié les différents types de menace qui peuvent pénaliser les appareils connectés et mis en place des processus pour les contrer. Et voici leurs conclusions. », explique Thibaut Rouffineau, Vice-Président Marketing de Canonical.  « Concernant les menaces, les experts en cybersécurité utilisent souvent des modélisations afin de cartographier les attaques susceptibles de compromettre un système. Le modèle STRIDE développé par Microsoft est largement utilisé pour la modélisation des menaces. », ajoutent ce dernier.

Dans une telle situation, il est fortement recommandé, d’inclure la sécurité informatique dans le déploiement des objets connectés. En effet, ces outils, quoique bien utiles, sont vulnérables au démarrage. Il suffit d’une simple corruption dès le démarrage pour que l’ensemble des systèmes d’exploitation soit touché. À cause de ses failles de sécurité, les systèmes des IoT industriels son sujet a des menaces très destructrices.

« Ce type d’intrusion expose les appareils à des menaces très élevées pouvant entraîner la destruction de l’appareil ou la corruption de toutes les lignes de production. Un démarrage sécurisé permet de vérifier l’authenticité d’un logiciel et sa provenance. Cette vérification empêche toute intervention dans la séquence de démarrage. Un composant ne s’exécute donc que si sa signature numérique est validée par le composant précédent. Le firmware valide le chargeur d’amorçage (bootloader) à l’aide d’une clé publique stockée sur l’appareil. Le chargeur d’amorçage valide alors le noyau de système d’exploitation, qui à son tour déchiffre le fichier racine. Le résultat est une chaîne de confiance logicielle. », précise Thibaut Rouffineau.

Par ailleurs il faut mettre en évidence le fait que les objets connectés ont tendance à collecter des données confidentielles et souvent très sensibles. Vu qu’il est facile pour les pirates informatiques d’accéder à ces objets en question, ce qui signifie que l’ensemble de ces informations souvent confidentielles peuvent tomber entre de mauvaises mains. Les risques de détournement de brevets ou encore d’exposition de secrets commerciaux font partie des plus grandes menaces des IoT du secteur industriel.

Alors, il est clair qu’il faut s’interroger sur la manière de protéger ses informations. On parlera entre autres de chiffrement de données de l’ensemble de ces partitions clés ou disques. De plus, la meilleure manière de protéger les données contenues dans les objets connectés réside dans la réduction des comportements à risques. Il est essentiel que les personnes qui sont régulièrement affectées à ces tâches puissent avoir des attitudes irréprochables.

« Les comportements qu’un système d’exploitation peut contrôler à l’aide de signatures numériques sont l’authentification, la communication et l’exécution des applications. L’authentification des appareils connectés permet le contrôle des accès tandis que la limitation des adresses acceptées par un appareil permet de créer une protection contre l’usurpation d’identité et les attaques DoS. Restreindre le nombre de composants logiciels (librairies, applications…) autorisées sur un appareil empêche aussi les modifications malveillantes des applications. », ajoute l’expert.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comment appréhender la sécurité des objets connectés

On se rappelle quand 2015, c’est près de 1,4 million de véhicule de la marque Jeep qui ont été retiré du marché.

La cause était dû à la découverte d’une faille de sécurité qui aurait pu permettre à des pirates informatiques de prendre le contrôle du véhicule à distance et c’est que le système de freinage et de direction.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

Durant l’année 2020, NCC Group a effectué étude approfondie portant sur des modèles de sonnette sans fil, des objets connectés produit par la filiale d’Amazon Ring, Vivint et Remo. L’étude a permis de mettre en évidence plusieurs failles de sécurité qui pourrait permettre à des cybercriminels de pouvoir infiltré le réseau de la maison et d’espionner les habitants du domicile ciblés. La conséquence de cette découverte a été plusieurs dépôts de plainte contre le géant américain Amazon, pour manque de protection contre le piratage informatique.

Pourtant, le marché des objets connectés croît de plus en plus. Que ce soit dans les services habituels, dans les hôpitaux ou dans les administrations publiques, il n’est pas rare de trouver un objet dans l’utilisation lèvres purement de l’Internet des objets. Presque tout devient connecté dans notre quotidien et cela est une réalité bien évidente.

L’ensemble des objets connectés constituent un groupe appelé « internet des objets », IoT en pour « Internet of Things ». S’ils continuent d’exploser dans les habitudes de consommation des individus, le pirate informatique le considère aujourd’hui littéralement comme un air de jeux. Selon une analyse récente, entre 2015 et 2018, 20 % d’organisation en été touchée par une attaque informatique impliquant des dispositifs objets connectés. Il devient clair que la protection des objets connectés est clairement une nécessité. Les organisations et les entreprises le savent.

« Se mettre à la place d’un attaquant permet de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. Ceci permet aussi d’anticiper les actions des attaquants et d’utiliser les mêmes outils et techniques, pour évaluer la sécurité des systèmes IoT et pour trouver de nouvelles vulnérabilités, des failles qui permettent de s’introduire dans le système. Par exemple, une des failles les plus simples d’exploitation pour un cybercriminel est de trouver les identifiants de connexion par une attaque dite de « force brute » afin d’avoir accès a l’appareil. De plus, les utilisateurs ne modifient pas forcément les identifiants définis par défaut lors de la première utilisation. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur (la plupart du temps le même pour chaque type d’appareil) et de se connecter à un appareil afin d’avoir accès au réseau complet. », explique Émilie Bout Doctorante, à l’Inria et Valeria Loscri, Chercheur associé, à l’Inria.

En 2016, le célèbre en botnet Mirai à exploiter cette faille de sécurité. En effet les pirates informatiques derrière sur réseau de zombies ont utilisé un ensemble de dispositifs IoT vulnérables par usage des identifiants et le mot de passe par défaut. L’attaque a été à grande échelle touchant de plein fouet plusieurs entreprises impliquée dans le trafic Web tel que Dyn et OVH ainsi que Airbnb et Twitter.

« Cette faille a aussi permis à des attaquants de s’introduire dans le réseau d’un casino, afin d’avoir accès aux données des clients (identité, numéro de compte, etc.) par le biais d’un thermomètre déployé dans un aquarium. Les failles liées aux spécificités des appareils connectés sont de plus en plus exploitées. Ces appareils fonctionnent sur batterie et sont pourvus de ressources mémoires limitées. Pour saturer le fonctionnement de ces éléments (batterie, mémoire), un attaquant peut envoyer de nombreuses requêtes à l’appareil et ainsi provoquer son arrêt – on parle alors d’attaque par « déni de service » (« DDoS »). L’un des objectifs est d’identifier les « zones à risques » les plus évidentes dans le réseau d’objet connecté, afin de créer des solutions le plus rapidement possible… avant qu’une personne malveillante ne la trouve. On peut considérer cela comme un jeu où deux équipes s’affrontent pendant un temps imparti pour atteindre le même but : trouver la faille – certains la répareront, d’autres l’exploiteront. », expliquent nos chercheuses.

Grâce à cette méthode plusieurs dysfonctionnements a été découvertes. Cela avant que les conséquences irrémédiables ne soient observées. C’est d’ailleurs le cas du modèle vulnérable de la jeep Cherokee abordé plus haut. Cela a aussi permis de pouvoir retirer du marché près de 500 000 pacemakers en Ventes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Internet des objets : et si c’était la nouvelle faille de sécurité du secteur la santé

La sécurité du patient est essentielle, c’est d’ailleurs pour cette raison qu’il est exigé un ensemble normes au niveau du déploiement des outils d’Internet des objets.

Il a même été intégré comme exigence de démarrage des protocoles de sécurité informatique. Il a même été imposé aux fabricants objets connectés du secteur de la santé, intégrer à leur produit, des mesures de protection drastique la conception de ceux-ci.

Cet article va aussi vous intéresser : L’impact de l’Internet des objets sur la sécurité des systèmes de contrôle industriel selon Kaspersky

C’est d’ailleurs ce que soulève, Éric Houdet, Le vice-président chargé des ventes et marketing de Quarkslab : « Entrés dans les établissements de santé, les objets connectés font l’objet de réglementations et de normes drastiques en matière de sécurité du patient et de sécurité informatique. Les fabricants d’IoT de santé doivent intégrer la protection numérique dès la conception de leurs produits et utiliser des systèmes statiques et dynamiques pour se prémunir contre les cybercriminels. ».

Ces dispositions sont de bonne guerre. En effet nous sommes dans une situation où les machines connectées sont de plus en plus nombreuses dans nos hôpitaux. Elles peuvent constituer à elles seules de véritables mines pour les pirates informatiques.

« Structurée autour de deux piliers – systèmes d’information et périphériques –, l’architecture informatique des hôpitaux offre une large surface d’attaque aux cybercriminels. Mais si les objets connectés représentent un risque important comme point d’entrée des cybercriminels dans les entreprises, le talon d’Achille des établissements de santé est avant tout le système d’information. Infrastructures vieillissantes, outils de sécurité insuffisants, manque de ressources humaines spécialisées en cybersécurité… autant de paramètres qui font la joie des attaquants. Grâce à des ransomwares, ils pénètrent dans le réseau et chiffrent les données stockées sur les serveurs, paralysant leur utilisation. », explique L’expert de chez Quarkslab.

Cependant quand on observe de plus près, l’ensemble des outils connectés utilisé dans nos hôpitaux sont moins sujets à des attaques informatiques. Disons pour le moment car l’éventualité que la cybercriminalité s’y intéresse est très grande. Selon Éric Houdet : « Dotés d’une architecture différente des postes de travail, ces objets connectés n’ont pas les mêmes vulnérabilités. Les attaquer requiert des méthodes et des outils spécifiques. Par ailleurs, leur niveau de sécurité tend à être généralement plus élevé. Et pour cause. Tous ces équipements doivent répondre à des standards et des normes drastiques de sécurité des personnes, à l’instar de la directive européenne 2017/745 ou de la norme ISO14971, qui encadre la gestion des risques liés à ces dispositifs (malades comme professionnels qui opèrent l’équipement), pour recevoir l’accord de mise sur le marché. ».

Pour le moment l’ensemble de ces réglementations est assez positif. De la sorte en soumettant le constructeur d’incorporer dès la base des outils de protection, cela permet de lutter en allemand contre les risques cyber. « Le risque informatique lié à une attaque ou à un ransomware pourra être intégré dans ces analyses. Un électrocardiographe, par exemple, ne peut réaliser des mesures justes que si son système ne connaît aucun dysfonctionnement. Il est donc impératif pour les fabricants d’objets connectés médicaux d’intégrer, dès la phase de conception, la sécurité de tous les composants et briques logicielles constituant le produit final contre les attaques informatiques pouvant viser les établissements de santé. Ce principe de « Safety by design » doit aussi intégrer le « Security by design » afin de mettre en œuvre des mesures plus performantes. », note Éric Houdet

Protéger les différents outils utilisés dans le secteur de la santé relève de la nécessité. Et cela tout simplement parce que il y a des vies en jeu. Les cybercriminels ont plusieurs fois démontré que mettre en danger la vie des patients pour exiger le paiement de rançon n’est pas quelque chose qui les dérangent véritablement. Une cyberattaque peu importe son ampleur, peut avoir de lourdes conséquences.

En conclusion, on peut retenir que : « La sécurité informatique des établissements de santé est un problème complexe, qui nécessite une approche holistique de la sécurité informatique, en prenant en compte le système d’information et les périphériques médicaux. Si les objets connectés de santé ne sont pas la cible prioritaire des pirates, il est essentiel de mettre en place les garde-fous nécessaires afin que cela ne le devienne. », souligne Éric Houdet.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité et objets connectés : Ring adopte le chiffrement de bout en bout

Ring, l’une des filiales du géant américain Amazon, qui est dans la production d’objets connectés souhaite renforcer au mieux la sécurité de ces appareils pour le grand plaisir de sa clientèle.

Pour cela, l’entreprise prévoit de déployer le chiffrement de bout en bout. Une option qui malheureusement ne pourra pas être activée par défaut.

On pourrait tenir seulement que du côté de la société filiale d’Amazon, la question de la sécurité informatique n’est pas prise à la légère. Appartenant au grand groupe Amazon depuis 2018, la société se place comme étant un des leaders en matière d’objets connectés. Dans une récente publication qui a paru sur le blog de l’entreprise, Ring annonce officiellement le département de chiffrement de bout en bout. Chiffrement qui sera dédié à la vidéo, de sorte à protéger au maximum les flux.

Cet article va aussi vous intéresser : La cybersécurité des objets connectés et le travail à distance

À l’heure où l’on vous écrit, le déploiement est en cours. Cependant, il y a malheureusement deux points à soulever :

– Pour le moment ce ne sera qu’un aperçu de la technique de chiffrement, la version finale qui viendra beaucoup plus tard.

– L’option de chiffrement de bout en bout ne sera pas activé par défaut. Les Utilisateurs devront eux même s’en charger.

Par ailleurs, il faudrait préciser important. Même avant le déploiement du chiffrement de bout en bout, la société offre déjà une mesure de protection qui permet de chiffrer la communication. « Par défaut, Ring chiffre déjà les vidéos lorsqu’elles sont envoyées dans le cloud (en transit) et stockées sur les serveurs de Ring (au repos) », rappelle la filiale d’Amazon. Avec le chiffrement de bout en bout, on aura alors une protection supplémentaire, lorsque les vidéos seront stockées sur l’appareil qui sera prévu à cet effet.

À titre de rappel il faut préciser que le chiffrement de bout en bout, est une méthode utilisée par assez de plateformes numériques, pour assurer que les échanges soient confidentiels donc très bien protégés. L’idée est d’empêcher que des informations transmises d’un point A vers un point B, ne puissent être consultées ou consultables si jamais elle venait à être interceptées lors de la transmission. Ce type de chiffrement est utilisé pour les échanges écrits tel que les textos, les photos ou encore les vidéos.

On ne doit pas nier que cette décision de la filiale d’Amazon de pouvoir adopter ce mode de et une initiative qui a été causée par plusieurs polémiques. Déjà durant le mois de février 2020, la société avait finalement opté pour l’utilisation de l’authentification à double facteurs, qui permet de renforcer l’accès aux données fournies par les caméras. C’est une combinaison mot de passe et code temporaire. Qui était envoyé par SMS au propriétaire de la caméra.

« Ces modifications sont la conséquence d’une controverse importante survenue au tout début de l’année dernière, lorsqu’il est apparu qu’une caméra Ring piratée a été utilisée pour parler à un enfant. Au départ, Amazon avait rejeté la faute sur les parents, en laissant entendre qu’ils avaient eu une mauvaise hygiène en matière de sécurité informatique, avant d’admettre qu’il fallait revoir sa copie en la matière. Le chiffrement de bout en bout évitera d’ailleurs que d’autres employés tentent d’accéder aux vidéos de clients. » précise un expert.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage