Archives de catégorie : Objets Connectés

Les objets connectés sont le plus souvent la cible de piratage dû au fait de leur faible protection.

Comment appréhender la sécurité des objets connectés

On se rappelle quand 2015, c’est près de 1,4 million de véhicule de la marque Jeep qui ont été retiré du marché.

La cause était dû à la découverte d’une faille de sécurité qui aurait pu permettre à des pirates informatiques de prendre le contrôle du véhicule à distance et c’est que le système de freinage et de direction.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

Durant l’année 2020, NCC Group a effectué étude approfondie portant sur des modèles de sonnette sans fil, des objets connectés produit par la filiale d’Amazon Ring, Vivint et Remo. L’étude a permis de mettre en évidence plusieurs failles de sécurité qui pourrait permettre à des cybercriminels de pouvoir infiltré le réseau de la maison et d’espionner les habitants du domicile ciblés. La conséquence de cette découverte a été plusieurs dépôts de plainte contre le géant américain Amazon, pour manque de protection contre le piratage informatique.

Pourtant, le marché des objets connectés croît de plus en plus. Que ce soit dans les services habituels, dans les hôpitaux ou dans les administrations publiques, il n’est pas rare de trouver un objet dans l’utilisation lèvres purement de l’Internet des objets. Presque tout devient connecté dans notre quotidien et cela est une réalité bien évidente.

L’ensemble des objets connectés constituent un groupe appelé « internet des objets », IoT en pour « Internet of Things ». S’ils continuent d’exploser dans les habitudes de consommation des individus, le pirate informatique le considère aujourd’hui littéralement comme un air de jeux. Selon une analyse récente, entre 2015 et 2018, 20 % d’organisation en été touchée par une attaque informatique impliquant des dispositifs objets connectés. Il devient clair que la protection des objets connectés est clairement une nécessité. Les organisations et les entreprises le savent.

« Se mettre à la place d’un attaquant permet de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. Ceci permet aussi d’anticiper les actions des attaquants et d’utiliser les mêmes outils et techniques, pour évaluer la sécurité des systèmes IoT et pour trouver de nouvelles vulnérabilités, des failles qui permettent de s’introduire dans le système. Par exemple, une des failles les plus simples d’exploitation pour un cybercriminel est de trouver les identifiants de connexion par une attaque dite de « force brute » afin d’avoir accès a l’appareil. De plus, les utilisateurs ne modifient pas forcément les identifiants définis par défaut lors de la première utilisation. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur (la plupart du temps le même pour chaque type d’appareil) et de se connecter à un appareil afin d’avoir accès au réseau complet. », explique Émilie Bout Doctorante, à l’Inria et Valeria Loscri, Chercheur associé, à l’Inria.

En 2016, le célèbre en botnet Mirai à exploiter cette faille de sécurité. En effet les pirates informatiques derrière sur réseau de zombies ont utilisé un ensemble de dispositifs IoT vulnérables par usage des identifiants et le mot de passe par défaut. L’attaque a été à grande échelle touchant de plein fouet plusieurs entreprises impliquée dans le trafic Web tel que Dyn et OVH ainsi que Airbnb et Twitter.

« Cette faille a aussi permis à des attaquants de s’introduire dans le réseau d’un casino, afin d’avoir accès aux données des clients (identité, numéro de compte, etc.) par le biais d’un thermomètre déployé dans un aquarium. Les failles liées aux spécificités des appareils connectés sont de plus en plus exploitées. Ces appareils fonctionnent sur batterie et sont pourvus de ressources mémoires limitées. Pour saturer le fonctionnement de ces éléments (batterie, mémoire), un attaquant peut envoyer de nombreuses requêtes à l’appareil et ainsi provoquer son arrêt – on parle alors d’attaque par « déni de service » (« DDoS »). L’un des objectifs est d’identifier les « zones à risques » les plus évidentes dans le réseau d’objet connecté, afin de créer des solutions le plus rapidement possible… avant qu’une personne malveillante ne la trouve. On peut considérer cela comme un jeu où deux équipes s’affrontent pendant un temps imparti pour atteindre le même but : trouver la faille – certains la répareront, d’autres l’exploiteront. », expliquent nos chercheuses.

Grâce à cette méthode plusieurs dysfonctionnements a été découvertes. Cela avant que les conséquences irrémédiables ne soient observées. C’est d’ailleurs le cas du modèle vulnérable de la jeep Cherokee abordé plus haut. Cela a aussi permis de pouvoir retirer du marché près de 500 000 pacemakers en Ventes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Internet des objets : et si c’était la nouvelle faille de sécurité du secteur la santé

La sécurité du patient est essentielle, c’est d’ailleurs pour cette raison qu’il est exigé un ensemble normes au niveau du déploiement des outils d’Internet des objets.

Il a même été intégré comme exigence de démarrage des protocoles de sécurité informatique. Il a même été imposé aux fabricants objets connectés du secteur de la santé, intégrer à leur produit, des mesures de protection drastique la conception de ceux-ci.

Cet article va aussi vous intéresser : L’impact de l’Internet des objets sur la sécurité des systèmes de contrôle industriel selon Kaspersky

C’est d’ailleurs ce que soulève, Éric Houdet, Le vice-président chargé des ventes et marketing de Quarkslab : « Entrés dans les établissements de santé, les objets connectés font l’objet de réglementations et de normes drastiques en matière de sécurité du patient et de sécurité informatique. Les fabricants d’IoT de santé doivent intégrer la protection numérique dès la conception de leurs produits et utiliser des systèmes statiques et dynamiques pour se prémunir contre les cybercriminels. ».

Ces dispositions sont de bonne guerre. En effet nous sommes dans une situation où les machines connectées sont de plus en plus nombreuses dans nos hôpitaux. Elles peuvent constituer à elles seules de véritables mines pour les pirates informatiques.

« Structurée autour de deux piliers – systèmes d’information et périphériques –, l’architecture informatique des hôpitaux offre une large surface d’attaque aux cybercriminels. Mais si les objets connectés représentent un risque important comme point d’entrée des cybercriminels dans les entreprises, le talon d’Achille des établissements de santé est avant tout le système d’information. Infrastructures vieillissantes, outils de sécurité insuffisants, manque de ressources humaines spécialisées en cybersécurité… autant de paramètres qui font la joie des attaquants. Grâce à des ransomwares, ils pénètrent dans le réseau et chiffrent les données stockées sur les serveurs, paralysant leur utilisation. », explique L’expert de chez Quarkslab.

Cependant quand on observe de plus près, l’ensemble des outils connectés utilisé dans nos hôpitaux sont moins sujets à des attaques informatiques. Disons pour le moment car l’éventualité que la cybercriminalité s’y intéresse est très grande. Selon Éric Houdet : « Dotés d’une architecture différente des postes de travail, ces objets connectés n’ont pas les mêmes vulnérabilités. Les attaquer requiert des méthodes et des outils spécifiques. Par ailleurs, leur niveau de sécurité tend à être généralement plus élevé. Et pour cause. Tous ces équipements doivent répondre à des standards et des normes drastiques de sécurité des personnes, à l’instar de la directive européenne 2017/745 ou de la norme ISO14971, qui encadre la gestion des risques liés à ces dispositifs (malades comme professionnels qui opèrent l’équipement), pour recevoir l’accord de mise sur le marché. ».

Pour le moment l’ensemble de ces réglementations est assez positif. De la sorte en soumettant le constructeur d’incorporer dès la base des outils de protection, cela permet de lutter en allemand contre les risques cyber. « Le risque informatique lié à une attaque ou à un ransomware pourra être intégré dans ces analyses. Un électrocardiographe, par exemple, ne peut réaliser des mesures justes que si son système ne connaît aucun dysfonctionnement. Il est donc impératif pour les fabricants d’objets connectés médicaux d’intégrer, dès la phase de conception, la sécurité de tous les composants et briques logicielles constituant le produit final contre les attaques informatiques pouvant viser les établissements de santé. Ce principe de « Safety by design » doit aussi intégrer le « Security by design » afin de mettre en œuvre des mesures plus performantes. », note Éric Houdet

Protéger les différents outils utilisés dans le secteur de la santé relève de la nécessité. Et cela tout simplement parce que il y a des vies en jeu. Les cybercriminels ont plusieurs fois démontré que mettre en danger la vie des patients pour exiger le paiement de rançon n’est pas quelque chose qui les dérangent véritablement. Une cyberattaque peu importe son ampleur, peut avoir de lourdes conséquences.

En conclusion, on peut retenir que : « La sécurité informatique des établissements de santé est un problème complexe, qui nécessite une approche holistique de la sécurité informatique, en prenant en compte le système d’information et les périphériques médicaux. Si les objets connectés de santé ne sont pas la cible prioritaire des pirates, il est essentiel de mettre en place les garde-fous nécessaires afin que cela ne le devienne. », souligne Éric Houdet.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité et objets connectés : Ring adopte le chiffrement de bout en bout

Ring, l’une des filiales du géant américain Amazon, qui est dans la production d’objets connectés souhaite renforcer au mieux la sécurité de ces appareils pour le grand plaisir de sa clientèle.

Pour cela, l’entreprise prévoit de déployer le chiffrement de bout en bout. Une option qui malheureusement ne pourra pas être activée par défaut.

On pourrait tenir seulement que du côté de la société filiale d’Amazon, la question de la sécurité informatique n’est pas prise à la légère. Appartenant au grand groupe Amazon depuis 2018, la société se place comme étant un des leaders en matière d’objets connectés. Dans une récente publication qui a paru sur le blog de l’entreprise, Ring annonce officiellement le département de chiffrement de bout en bout. Chiffrement qui sera dédié à la vidéo, de sorte à protéger au maximum les flux.

Cet article va aussi vous intéresser : La cybersécurité des objets connectés et le travail à distance

À l’heure où l’on vous écrit, le déploiement est en cours. Cependant, il y a malheureusement deux points à soulever :

– Pour le moment ce ne sera qu’un aperçu de la technique de chiffrement, la version finale qui viendra beaucoup plus tard.

– L’option de chiffrement de bout en bout ne sera pas activé par défaut. Les Utilisateurs devront eux même s’en charger.

Par ailleurs, il faudrait préciser important. Même avant le déploiement du chiffrement de bout en bout, la société offre déjà une mesure de protection qui permet de chiffrer la communication. « Par défaut, Ring chiffre déjà les vidéos lorsqu’elles sont envoyées dans le cloud (en transit) et stockées sur les serveurs de Ring (au repos) », rappelle la filiale d’Amazon. Avec le chiffrement de bout en bout, on aura alors une protection supplémentaire, lorsque les vidéos seront stockées sur l’appareil qui sera prévu à cet effet.

À titre de rappel il faut préciser que le chiffrement de bout en bout, est une méthode utilisée par assez de plateformes numériques, pour assurer que les échanges soient confidentiels donc très bien protégés. L’idée est d’empêcher que des informations transmises d’un point A vers un point B, ne puissent être consultées ou consultables si jamais elle venait à être interceptées lors de la transmission. Ce type de chiffrement est utilisé pour les échanges écrits tel que les textos, les photos ou encore les vidéos.

On ne doit pas nier que cette décision de la filiale d’Amazon de pouvoir adopter ce mode de et une initiative qui a été causée par plusieurs polémiques. Déjà durant le mois de février 2020, la société avait finalement opté pour l’utilisation de l’authentification à double facteurs, qui permet de renforcer l’accès aux données fournies par les caméras. C’est une combinaison mot de passe et code temporaire. Qui était envoyé par SMS au propriétaire de la caméra.

« Ces modifications sont la conséquence d’une controverse importante survenue au tout début de l’année dernière, lorsqu’il est apparu qu’une caméra Ring piratée a été utilisée pour parler à un enfant. Au départ, Amazon avait rejeté la faute sur les parents, en laissant entendre qu’ils avaient eu une mauvaise hygiène en matière de sécurité informatique, avant d’admettre qu’il fallait revoir sa copie en la matière. Le chiffrement de bout en bout évitera d’ailleurs que d’autres employés tentent d’accéder aux vidéos de clients. » précise un expert.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

BlackBerry et le géant du e-commerce Amazon dans le secteur des voitures connectées

Il y a quelques semaines de cela, 2 entreprises importantes du secteur du numérique à savoir le spécialiste logiciels et solutions informatiques BlackBerry et le géant du e-commerce américain, Amazon annonçait publiquement avoir conclu un partenariat dans le but de développer au service numérique qui sera dirigé vers les véhicules connectés.

C’est une plate-forme qui aura pour objectif de centraliser les données recueillies par différents capteurs présents dans les véhicules et de s’adapter en fonction de certaines informations.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

À l’annonce de ce partenariat, la valeur en bourse de BlackBerry connaissait une croissance de 50 % à Wall Street. Il faut noter que le groupe canadien avait depuis le début de cette année 2020, avait entamé plusieurs autres partenariats avec le géant américain Amazon.

Pour ce qui en ai pour ce moment du contrat, il tourne autour de la création de la plate-forme décrite précédemment. Elle portera la dénomination de IVY. C’est un service qui devra permettre aux constructeurs d’automobile connectées de « créer des services intégrés dans le véhicule, réactifs, qui améliorent l’expérience du conducteur et des passagers ». « Par exemple, IVY pourra se servir des données de la voiture pour identifier le comportement de la personne au volant et des conditions dangereuses comme le verglas ou les bouchons et recommander que le conducteur actionne des options de sécurité comme le contrôle de l’adhérence, l’assistance pour garder la voiture sur sa voie ou le régulateur de vitesse », a expliqué un communiqué le numéro un mondial du Cloud et du e-commerce, Amazon. C’est une plate-forme qui aura des fonctionnalités assez sociales comme prévenir des parents lorsqu’une personne de leur famille, leur adolescent par exemple a des attitudes qui ne conviennent pas aux règles d’usage de conduite. Le plan de ce projet est de produire une plate-forme compatible à n’importe quel modèle de véhicules connectés.

Il faut noter que ce genre de projet rentre pleinement dans le cadre du groupe canadien qui depuis quelques années maintenant s’est reconverti dans les offres de services pour entreprises que ce soit au niveau de la sécurité informatique ou même de la centralisation de données. Cela se présente clairement comme une expérience qui peut profiter à la mise en place d’un tel projet, et bien sur, Amazon l’a bel et bien compris. À la compétence d’Amazon web services et de sa branche d’intelligence artificielle et d’objets connectés, il est fort probable que la plateforme puisse répondre de manière crédible aux attentes de ses initiateurs.

« BlackBerry IVY pourra faire fonctionner de multiples systèmes d’exploitation de véhicules et types de cloud afin d’être compatible quels que soient le modèle et la marque », décrit Amazon. Comme on le sait déjà, Le géant américain du e-commerce et des services Cloud a déjà une certaine expérience dans le secteur des véhicules autonomes. Durant le mois de juin dernier, il faut rappeler que Amazon avait annoncé son acquisition de Zoox, une start-up qui s’était spécialisé dans le développement des technologies permettant de déployer une flotte de taxis autonome.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Protection des données personnelles : la Fondation Mozilla classifie les appareils en fonction de leurs avantages pour les données d’utilisateurs

Pour la fête de fin d’année, il faudrait bien choisir quoi offrir à ses parents et à ses proches.

Le plus souvent l’idée qui nous traverse touche les objets numériques. Pourtant, tous les appareils ne sont pas tous bons à offrir par rapport à certaines circonstances. C’est dans ce contexte que Mozilla a décidé de publier une liste mettant en avant les appareils qui sont soucieux d’une bonne gestion des données d’utilisateurs. Une liste qui fait l’apologie de certains constructeurs mais qui d’un autre sens dénigre d’autres.

Cet article va aussi vous intéresser : L’impact de l’Internet des objets sur la sécurité des systèmes de contrôle industriel selon Kaspersky

Cette année nous sommes à la 4e édition de la fameuse liste intitulé « Privacy Not Included » en fonction de l’intérêt que porte les constructeurs à la vie privée des utilisateurs de leurs appareils. La liste disponible sur la plate-forme de Mozilla, la Fondation qui se trouve derrière le célèbre navigateur Firefox. La liste comprend 136 produits de la classe des objets connectés.

« En 2017, lorsque nous avons lancé « Privacy Not Included », nous ne savions pas si les gens seraient intéressés par un guide sur la vie privée et la sécurité des jouets, gadgets et produits de maison intelligents connectés. Il s’est avéré qu’ils l’étaient. Et il n’y avait pas que les gens qui étaient intéressés. Nous avons découvert que les entreprises l’étaient aussi », explique la fondation. Il faut noter que dorénavant les visiteurs de sa plate-forme peuvent aussi participer au classement dans leur appréciation de la chose coût d’un produit qu’il aurait utilisé

« Nous sommes conscients que les gens veulent simplement savoir quels produits sont sûrs et lesquels ne le sont pas. Nous sommes Mozilla – pas une société d’évaluation de produits de consommation – donc nous ne dirons pas « Achetez ceci, n’achetez pas cela ». Nous avons plutôt utilisé notre expertise technique pour créer un ensemble de normes de sécurité minimales auxquelles nous pensons que tous les produits devraient répondre pour être vendus dans les magasins », souligne de ce fait la direction de la fondation.

Dans la liste des plus réputés comme étant problématiques pour les données personnelles des utilisateurs, 3 grands groupes sont mis sur la sellette. Ce sont notamment Amazon Moleskine et Facebook.

La fondation à épingler plusieurs produits du géant américain Amazon parce qu’elle estime qu’elle est trop minimaliste pour ce qui en est la gestion de la vie privée et de la protection des données des utilisateurs de ces produits. Certaines pratiques de Amazon selon Mozilla pourraient se caractériser littéralement comme criminelles. En particulier avec son produit Halo, le bracelet connecté produit par le géant américain du e-commerce. Les personnes qui ont procédé à la sélection non qualifiée comme « le plus effrayant des traqueurs de fitness jamais vu. Le problème n’est pas que toutes les données collectées par ce dispositif sont conservées de manière non sécurisée, Amazon fait un bon travail de sécurisation des données. Le problème est de savoir à quoi Amazon peut potentiellement utiliser toutes ces données ». Selon ces derniers, le bracelet connecté de Amazon ne se contente pas seulement de mesurer l’activité physique de son utilisateur, mais il écoute aussi et en utilisant des procédés de machine learning, il exige certaines activités tel que se prendre en photo en sous-vêtement dans le but de voir l’évolution du taux de graisse. Il est vrai que Amazon a certifié ne pas utiliser les informations collectées par Halo dans un but commercial, cependant, la recommandation de produits que reçoivent les utilisateurs du bracelet les poussent à penser autrement. Et malgré ceci, le bracelet continue d’engranger des données biométriques de ses utilisateurs. « Nous classons ça dans la catégorie « Ce n’est pas parce que vous pouvez que vous devez le faire » », notaient dans leur rapport les auteurs de la sélection.

Du côté de Facebook, la méfiance concerne l’utilisation de son Portal. En pratique, il faut soulever le fait que le réseau social n’a pas une bonne réputation en ce qui concerne la gestion et la sécurité des données personnelles des utilisateurs de ces plateformes. Facebook « a un bilan assez catastrophique en matière de protection de la vie privée de ses utilisateurs », et la fondation Mozilla s’inquiète : « aujourd’hui, ils demandent aux gens de dépenser quelques centaines de dollars pour installer chez eux un appareil doté d’une caméra intelligente alimentée par l’intelligence artificielle et capable de suivre tous leurs mouvements, ainsi qu’un microphone à écoute permanente alimenté par Alexa ». Selon la fondation, si jusqu’à présent aucun fait concret ne permet de douter de Facebook, en particulier pour l’utilisation de son objet connecté, il ne faudrait surtout pas oublier ses antécédents. « C’est compte tenu du terrible bilan de Facebook en matière de respect de la vie privée que nous sommes très inquiets », expliquent alors les auteurs de la sélection. « La question est de savoir si Facebook a à cœur vos intérêts lorsqu’il collecte toutes les données que cet appareil est capable de collecter. Dans le passé – depuis Cambridge Analytica et au-delà – la réponse à cette question a trop souvent été non », concluent ces deniers.

Hormis les deux géants américains, Les constructeurs tel que Moleskine, DJI, Xiaomi sont aussi pointé du doigt à travers leur mauvaise réputation pour la gestion des données de leurs utilisateurs. Ces derniers présenteraient des carences palpables en termes de protection des informations d’utilisateurs.

Mais au-delà de ceci, plusieurs objets provenant de constructeurs connus tel que Apple, Nintendo ou Jabra, ont reçu des très bonnes notes de la part de la sélection de Mozilla.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage