Archives pour la catégorie Objets Connectés

Les objets connectés sont le plus souvent la cible de piratage dû au fait de leur faible protection.

Une cafetière connectée peut être ciblée par une attaque informatique au rançongiciel

Dans le cadre de ses recherches en sécurité informatique, un spécialiste de la cybersécurité, a réussi à pirater une machine à café dont l’essai s’est soldé par la demande d’une rançon.

Ce piratage est significatif du danger tant décrié des objets connectés.

Cet article va aussi vous intéresser : La cybersécurité des objets connectés et le travail à distance

Depuis l’avènement de l’Internet des objets, la question de la sécurité des objets connectés a toujours été au centre de plusieurs débats. Avec l’entrée en lice de la 5G dans les prochains mois à venir, ce danger ou cette inquiétude en risque de s’accroître. L’internet des objets présente trop de vulnérabilité. Il suffit d’une machine négligée aussi vraiment ensemble pour rendre vulnérable tout un réseau. Et c’est ce qui vient d’être démontré par le chercheur en sécurité informatique Martin Hron, de l’entreprise spécialisée Avast. L’un des leaders en matière de fournitures de solutions de sécurité.

Selon les informations qui sont parvenus sur l’exploit de spécialiste de la sécurité informatique, l’objet qui a été choisi pour le test de sécurité était touché par plusieurs failles de sécurité. Parmi lesquels on peut dénombrer l’absence ou des signatures dans la réception des commandes et des mises à jour du firmware, l’absence déchiffrement. Pourtant ce sont des points qui constituent des vulnérabilités très critiques car ils peuvent permettre aux cybercriminels d’initier d’importantes attaques Informatiques.

Cette démonstration démontre à quel point les objets connectés sont toujours autant exposés. Une exposition qui n’est pas anodine car, elle peut aussi mettre en danger un réseau informatique.

En pratique, l’expert de la cybersécurité, Martin Hron explique avoir réussi à perturber le fonctionnement correcteur de la machine à café en utilisant une puce intégrée à l’objet. Cela lui a alors permis de formuler un message de demande de rançon pour ensuite stopper le dysfonctionnement. Il signifie que la seule manière d’arrêter la machine après qu’elle ait été ciblée par l’attaque informatique est qu’elle ait été débranché. Il explique ceci : « Le micrologiciel est à jour et il n’y a pas d’option facile pour pousser la mise à jour du micrologiciel pour pouvoir voir ce qu’il y a dans le trafic réseau. Ce qui est intéressant ici, c’est ce qui manque. Il n’y avait aucune communication à Internet ni de la cafetière ni de l’application. Alors, comment est-il possible que l’application sache que la cafetière dispose du dernier micrologiciel ? Les seuls paquets de données qui sont passés étaient ceux entre la machine et l’application lorsque l’application avait demandé à la machine la version du micrologiciel. C’est étrange, et cela semble nous dire que le micrologiciel n’est probablement pas sur Internet et doit faire partie de l’application. Nous avons donc ouvert le fichier .apk aussi facilement qu’un fichier .zip. Ce que nous avons trouvé là-bas a prouvé notre hypothèse. ».

Ce dernier précisera que à la base, ce n’était pas l’objectif d’exiger par exemple une rançon. « À l’origine, nous voulions prouver le fait que cet appareil pouvait exploiter la crypto-monnaie (…) Compte tenu du processeur et de l’architecture, c’est certainement faisable, mais à une vitesse de 8 MHz, cela n’a aucun sens car la valeur produite par un tel mineur serait négligeable ». Précise t-il.

Le spécialiste de Avast souligne enfin pour quelle raison il a décidé de réaliser ce test en particulier : « Certaines recherches sont si amusantes qu’elles confirment pourquoi je fais ce travail. On m’a demandé de prouver un mythe, appelez-le un soupçon, que la menace des appareils IdO ne se résume pas à y accéder via un routeur faible ou une exposition à Internet, mais qu’un appareil IdO lui-même est vulnérable et peut être facilement être piraté sans forcément pirater le réseau ou le routeur. J’ai également parié que je pourrais faire persister cette menace et faire qu’elle présente un véritable danger pour n’importe quel utilisateur. Nous disons souvent que votre réseau domestique, considéré comme une chaîne de confiance, n’est aussi solide que son maillon le plus faible, mais que se passerait-il si la même chose était vraie au niveau de l’appareil ? Qu’est-ce que cela signifierait ? »

« Supposons que vous ayez un appareil IdO bien protégé avec des fonctions accessibles via une API bien définie; même si vous pouvez contrôler l’appareil via l’API, vous ne pouvez probablement pas faire trop de mal. Le firmware, la programmation à l’intérieur de l’appareil, a des contraintes logiques qui ne vous permettent pas, par exemple, de fermer les portes de garage alors que quelqu’un se trouve sur leur chemin ou de surchauffer un appareil pour qu’il brûle.

« Nous avions l’habitude de croire que nous pouvions faire confiance au matériel, tel qu’un appareil de cuisine courant, et qu’il ne pouvait pas être facilement modifié sans démonter physiquement l’appareil. Mais avec les appareils « intelligents » d’aujourd’hui, ce n’est plus le cas. » note t’il dans un article de blog.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La cybersécurité des objets connectés et le travail à distance

Quelle approche critique des deux réalités du mot numérique ?

Le travail a distance est devenu aujourd’hui un standard professionnel. Une bonne partie des entreprises basculer vers ce modèle de travail. Malheureusement, ce système a aussi contraint, l’utilisation massive des outils personnels dans le cadre du travail. Et cela n’a pas rangé la question de la cybersécurité qui était d’abord un problème très prégnant.

Cet article va aussi vous intéresser : Confinker : Les objets connectés à l’épreuve d’un vieux programme informatique

En effet, selon une étude menée par Loockout une entreprise spécialisée dans la cybersécurité, le premier trimestre de 2020 a vu une augmentation des attaques visant les mobiles par phishing de plus de 37 %.

Au cours des trois premiers mois de 2020, le nombre d’attaques de phishing sur mobile s’est accru de 37% d’après les chiffres de Loockout. Comme il est de coutume, les pirates informatiques ont tendance à utiliser des phénomènes sociaux pour initier leur compagne de cybercriminalité. Soit pour mettre en vente certains produits, ou pour utiliser une situation quelconque pour soutirer de l’argent aux utilisateurs imprudent

« Les attaquants exploiteront toujours des événements sociétaux tels que crises sanitaires, campagnes politiques ou lancements de produits majeurs pour inciter leurs victimes à oublier les avertissements de sécurité.

En exploitant un thème plus personnel qui génère une réaction instinctive, l’attaquant crée une situation où sa victime n’inspectera plus le lien ou la page web qu’il lui présente et cliquera dessus sans réfléchir. » décrit la société Lookout.

Selon la société de sécurité, avant même la pandémie à coronavirus, c’est comme pour 50 % des utilisateurs des suites de Microsoft Office 350 ou de la Google G Suite était beaucoup plus exposés aux cyberattaques que les autres. La tendance continue avec les outils fournis par les géants de la Tech. C’est d’ailleurs le cas avec Alexa, l’assistant vocal de Amazon. On comprend alors, que la possibilité des attaques venant de la part des cybercriminels peut échanger à n’importe quel moment des noms comme des circonstances et des opportunités.

Effectivement la majorité des personnes croient qu’une attaque de type phishing viendra forcément d’un email corrompu, qui mènera l’utilisateur vers un faux site qui relèvera ses identifiants ou autres informations. Alors que dans la pratique, la majorité des liens mais non vers des faux viens une fois des SMS ou des plateformes de réseaux sociaux tels que Facebook, Twitter ou WhatsApp. Ce sont les utilisateurs mobiles qui sont maintenant les plus ciblés par ce genre de campagne. Surtout les liens ne savent plus exclusivement à diriger vers défaut site internet. Ils peuvent être utilisés pour infecter le terminal de la victime, en y exécutant automatiquement des programmes malveillants, qui pourront être utile aux pirates pour exfiltrer les informations qu’ils veulent ou même espionner l’utilisateur ciblé.

C’est pour cette raison, que les équipes chargées à la sécurité des systèmes d’information, doivent réaliser que de simples outils la protection contre les cyberattaques ne peut pas protéger leurs systèmes et leurs employés de ce genre d’actes. Plusieurs mesures de sécurité de pratiques doivent être instaurer. Il a notamment l’utilisation des VPN, la mise en place d’authentification à multiples facteurs, et l’utilisation de solutions MDM (Mobile Device Management), pour la gestion de ces terminaux. En plus de cela un contrôle pointilleux doit être organisé autour des différences d’utilisateur car peu importe la mesure de sécurité développé, la faille principale est l’être humain.

A ce propos, l’entreprise de sécurité Lookout soulignait : « Vos équipes informatiques et de sécurité ne peuvent plus s’appuyer sur leur infrastructure de sécurité traditionnelle pour protéger l’entreprise.

Les terminaux mobiles doivent désormais bénéficier du même niveau de protection que les postes de travail.

Intégrer une plate-forme de sécurité mobile dans la stratégie de sécurité de votre organisation permettra à la fois de sécuriser les terminaux et de garantir la conformité de l’ensemble de la flotte mobile, de protéger les employés contre le phishing mobile, et d’éliminer tout risque de fraude sur mobile pour les consommateurs.

En comprenant l’extension de l’environnement des menaces, vous pourrez former vos employés sur les moyens de déceler les tentatives de phishing et les activités malveillantes.

La première ligne de défense contre une attaque de phishing n’est autre que les utilisateurs, et la formation de ces derniers à la sécurité sur mobile est donc hautement prioritaire pour n’importe quelle entreprise.

Votre plate-forme de sécurité mobile devra aussi être capable de protéger à la fois les employés et les consommateurs contre l’ensemble du spectre des risques mobiles. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le danger que représente les montres connectées pour la santé des seniors

Comme nous le savons déjà, les outils connectés posent toujours des problèmes de sécurité.

La question des failles de sécurité est belle et bien présente. Récemment c’était la SmartWatch, la montre connectée qui s’illustrait dans ce secteur. Une société britannique a mené une étude approfondie sur la sécurité de ces petits outils qui aujourd’hui deviennent quelque chose de courant. Et malheureusement une défaillance clair et nette a été observée pouvant mettre en danger la vie des plus vieux. Bien sûr, ils n’ont pas hésité à alerter les fabricants sur le problème.

Cet article va aussi vous intéresser : Les objets connectés en entreprise où des vulnérabilités là où on ne s’y attend guerre

La découverte a été faite par des chercheurs en cybersécurité de la société britannique spécialisée sécurité informatique, Pen Test Partners, qui est connue pour les tests de sécurité qu’elle a tendance à mener. Au sortir de son test qui s’est conclu le 8 juillet 2020, la société de sécurité à déclaré que les intelligentes qui présentaient des fonctions de traçage étaient touchées par des « failles de sécurité désastreuses. ».

Notons par ailleurs que le test s’est porté essentiellement sur des montres intelligentes destinées aux personnes du troisième âge. L’une des fonctionnalités de cette montre est de leur envoyer des rappels de sorte à ce qu’ils puissent prendre à part à l’heure. En particulier, ceux touchés par la démence ou encore la maladie d’Alzheimer. Grâce à cet outil, les médecins sont en mesure de suivre à la trace leur patient pour savoir à quel moment il faudrait appliquer tel ou tel soin. Avec la géolocalisation leur position et facilement accessible.

Si l’outil présente plusieurs avantages sur le plan médical, il n’en demeure pas moins qu’il peut-être facilement hacké. « La montre en question était facilement hackable » explique la société de cybersécurité britannique. En d’autres termes, les failles de sécurité qui sont présentes dans ses outils, permettre les cybercriminels d’intercepter les informations liées à la géolocalisation, l’intercepter ou d’envoyer de faux messages pouvant venir d’un parent, accéder à la caméra de la montre, si elle on est équipée. Et même pire, un pirate informatique peut même déclencher au travers de la vulnérabilité, l’alarme qui indique l’heure de la prise de médicaments, ce qui peut malheureusement pousser les utilisateurs a des prises non conformes à la posologie. Une cause potentielle d’overdose médicamenteuse.

Ce n’est pas la première fois que cette dernière analyse la sécurité des montres connectées. En effet, en fin 2019 Test Partners mettait en évidence une vulnérabilité affectant certaines Smart watch mais pour enfant cette fois ci. Des montres qui sont équipées de système de géolocalisation. Et c’est ce qui présentait le véritable problème. La faille de sécurité d’alors mettait en danger et non seulement les données de géolocalisation provenant des montres, mais aussi celle qui était stockées dans les utilités cloud de l’appareil, tels qu’un message vocal ou encore des appels enregistrés. La société Britannique a mentionné que près de 40 millions de SmartWatch avaient été affectées par une telle vulnérabilité.

En procédant à ces tests de sécurité, Pen Test Partners a pour objectif d’alerter les fabricants de montre connectée mais de façon générale ceux des d’objets connectés. Et comme cela a été démontré plusieurs fois dans le passé, leurs tests n’ont jamais été vain. A plusieurs reprises ils ont interpellé des fabricants de l’informatique et même des programmeurs sur des objets et systèmes, dont l’utilisation au quotidien aurait pu créer beaucoup de problèmes si les vulnérabilités avaient été découvertes par des personnes mal intentionnées. Dans certains cas c’est sûr demande des entreprises ou d’autres organisations qu’ils interviennent.

Leurs spécialités ressemblent à pour beaucoup d’autres entreprises de cybersécurité. « Hacker pour mieux protéger ». On peut citer comme exemple les entreprises françaises et américaines « YesWeHack » et HackerOne qui sont spécialisées dans la même branche. Leur terrain de chasse se définit par des bug Bounty, (chasseur de bug littéralement en français), c’est-à-dire la chasse au primes de faille de sécurité. De grandes entreprises font appel à ce genre de programme pour veiller à ce que leur système de sécurité ne soit pas pris dans une vulnérabilité qui pourrait être exploitée de manière illicite. Les primes pouvant s’élever à des millions de dollars par rapport à la criticité de la vulnérabilité découverte.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Une faille de sécurité menace de millions d’objets connectés

Dans le courant de la semaine, il a été avancé publiquement la découverte d’une faille de sécurité dans le protocole UPnP.

Ce qui constitue une menace pour plusieurs millions appareils connectés à travers le monde. La vulnérabilité a été découverte part un spécialiste de la sécurité informatique du nom de Yunus Çadirci. Elle permet, à toute personne pouvant l’exploiter, de voler les informations personnelles des utilisateurs, de pouvoir scanner les réseaux Internes, ce qui permettra d’initier facilement des attaquants de déni de service (DDoS).

Cet article va aussi vous intéresser : Les entreprises privées face aux vulnérabilités des objets connectés

La découverte de la faille de sécurité a été annoncée publiquement par Yunus Çadirci, le chercheur responsable de la découverte, ce mercredi 2020 c’est-à-dire hier. Le chercheur a qualifié la faille de sécurité de critique.

La vulnérabilité affecte le protocole UPnP (Universel Plug & Play). Un protocole qui fut élaboré pour permettre aux objets connectés de pouvoir interagir facilement entre eux, lorsque ces derniers sont branchés sur le même réseau. Le problème avec ce protocole, c’est qui n’admet pas de mécanisme d’authentification ou des vérifications d’identité. Cela s’explique par le fait qu’il a été conçu pour fonctionner sur un réseau local. Ce petit problème de sécurité (mais qui n’est pas négligeable du tout) a toujours contraints plusieurs fabricants souhaitant l’inclure dans leurs objets connectés tels que les téléviseurs, les consoles de jeux les routeurs, les impriment et bien d’autres, à désactiver le protocole par défaut. La latitude est donc laissée à utilisateur de pouvoir l’utiliser, en l’activant lui même (à ses risques et périls). Cependant, le chercheur à l’origine de la Découverte Yunus Çadirci signifie que la vulnérabilité (qui a été baptisée entre temps « Callstranger »), « se situe justement dans la fonction Subscribe (S’inscrire en français) du protocole. Cette vulnérabilité peut avoir des conséquences multiples. Elle permet à un pirate de scanner les réseaux internes depuis un appareil vulnérable pour ensuite en exfiltrer des données. Autre possibilité, le hacker peut se servir de CallStranger pour enrôler un appareil vulnérable dans un botnet pour lancer des attaques DDoS. ».

La bonne nouvelle, un correctif de sécurité est désormais disponible. Il a été développé par Open Connectivity Foundation en abrégé OCF. Notons en outre que l’Open Connectivity Foundation est une fondation, qui visent la promotion de l’Inter connectivité entre les outils informatiques. C’est d’ailleurs elle, qui a sous sa responsabilité le protocole UPnP. Donc, elle est à cet effet, chargé du développement de l’amélioration dudit protocole. La mise à jour de sécurité pour colmater la faille de sécurité est disponible pour téléchargement sur son site officiel.

En outre, la faille de sécurité affecte 5,4 millions d’appareils connectés utilisés dans le monde. On peut citer à titre d’exemple tous les ordinateurs qui fonctionnent avec Windows 10 comme système d’exploitation, les consoles de jeux Xbox One, les TV connectées Samsung, les routeurs et modems signés Huawei, Cisco ou D-Link et les imprimantes HP, Canon et Epson.

L’Open Connectivity Foundation et le spécialiste de la sécurité Yunus Çadirci ont indiqué à l’endroit des constructeurs des objets connectés la nécessité, du moins pour le moment, de « désactiver la fonctionnalité Subscribe du protocole UPnP dans la configuration par défaut ». Et comme la vulnérabilité touche de façon particulière un protocole, il faudrait attendre très longtemps avant le déploiement de potentiels correctifs de sécurité de la part des constructeurs. De toutes les façons, Yunus Çadirci soulignait : « On ne s’attend pas à ce que les utilisateurs à domicile soient directement ciblés. Si leurs objets connectés ont des terminaux UPnP, il est néanmoins possible que leurs appareils puissent être utilisés comme source d’une attaque DDoS ».

Notons que les failles de sécurité découvertes sur les objets connectés attirent généralement moins attention que celles découvertes sur des smartphones ou des ordinateurs. Pourtant le danger reste le même. L’utilisateur est donc exposé ainsi que l’ensemble de ses données. Comme nous l’avons mentionné plus haut, les mises à jour prennent toujours plus de temps avant d’être déployé. Au final certaines vulnérabilités ne seront jamais corrigées. Au grand risque des personnes qui seront exposés. C’est pour cette raison il est recommandé utilisateurs des objets connectés de toujours choisir leurs outils parmi le constructeur qui font des mises à jour de sécurité une de leurs priorités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Compteur Linky : une question de données personnelles

Les compteurs électrique Linky, dans la catégorie des objets connectés ont été déployés depuis maintenant 3 ans en France.

Cependant, la CNIL (Commission Nationale de l’Informatique et des libertés) ne cesse depuis un certain moment d’émettre des inquiétudes à propos de ce nouvel outil informatique. L’autorité administrative indépendante s’intéresse à la manière dont les données récoltées auprès des utilisateurs sont traités par les fournisseurs. Alors il sera opportun de s’interroger sur la nature des informations pouvant être collectées par ces compteurs Linky, et comment limiter pour que le fournisseur ne puisse avoir accès à certaines informations.

Cet article va aussi vous intéresser : La position de la Commission Nationale Informatique et Libertés sur l’appli de traçage mobile

Il faut noter que depuis son déploiement, cette nouvelle technologie qui était censée faciliter la vie des utilisateurs n’a cessé de faire grincer les dents. Plusieurs spécialistes ont toujours cherché a mettre en avant les pratiques intrusives liés à l’utilisation de ces compteurs. Et jusqu’à présent, vous trouverez des personnes opposées aux compteur Linky. Selon ces derniers, le boîtier jaune présent sur le compteur, d’Enedis, serait un outil qui permet aux fournisseurs d’énergie d’espionner leurs clients. Cependant cela semble un peu exagéré même si les raisons qui les poussent à le croire sont concrète. En effet, le titre du compteur Linky est de permettre aux usagers d’un tel outil de pouvoir consulter à distance des données de consommation, ce qui leur permettra bien sûr déterminer le mode de consommation ainsi que les facturations afin d’adapter leur abonnement. Et malheureusement s’il y a quelque chose qui ne peut-être à nier, c’est que rien ne garantit que les fournisseurs d’énergie ne détournent pas les informations collectées afin de pouvoir étudier certaines habitudes de consommation de leurs clients. D’où la fameuse problématique de l’atteinte à la vie privée des compteurs Linky. Jusqu’à présent, il n’y a pas une vue claire et nette des informations collectées et transmises aux fournisseurs d’énergie.

Notons par ailleurs que la Commission Nationale de l’Informatique et des libertés avait réussi à mettre la main sur certaines pratiques illégales en matière de protection de la vie privée et la gestion des données personnelles, des fournisseurs d’énergie tels que EDF et Engie. Ils ont été reconnus coupable par l’autorité administrative française d’avoir récolté les données de consommation de leurs utilisateurs sans au préalable, demander leur consentement explicite. Il y va aussi du non-respect du temps légal de conservation des données récoltées.

Du côté des compteurs Linky, il faut noter que le processus de transmission des informations des usagers a été validé par l’Agence Nationale de sécurité des systèmes d’information (l’ANSSI), l’autorité en charge de la protection les systèmes d’information et réseau de l’État ainsi que l’encadrement et la supervision de la cybersécurité les structures privées (société commerciales, ONG, Hôpitaux…). Selon cette dernière, aucune donnée personnelle nominative et informative  ne doit être récolter par les compteurs Linky. En d’autres termes, les adresses, les noms et prénoms, les emails le numéro de téléphone. Pour résumer les informations collectées par ces outils sont anonymisés. La seule donnée qui est récoltée permettant une certaine identification et le numéro du compteur. Mais pour l’utiliser à des fins d’identification, il est bien sûr nécessaire de le croiser avec des informations qui ne sont détenues, dans un fichier consommateurs, que par le fournisseur principal, Enedis. De plus, les informations liées à la consommation d’énergie ne sont transmis que de manière chiffrée aux différents fournisseurs et cela, avec le consentement préalable de l’utilisateur.

Pour la Ligue des droits de l’homme : « le compteur Linky selon lui est « très bavard » car que le transfert des données très détaillées sur la consommation d’électricité des foyers permettrait de connaître notamment les heures ou périodes d’absence, les heures de lever et de coucher ou encore le volume d’eau consommé (sous certaines conditions) et donc par déduction le nombre de personnes présentes dans l’habitation. ». Toutefois, il faut soulever le fait que les données ne peuvent être accessibles par le fournisseur que si l’utilisateur le consent librement et expressément. Une fois ce consentement délivré, il est alors en effet possible pour Enedis d’avoir connaissance de certaines informations très personnel de son compteur. Ce qui est problématique pour la vie privée même en présence d’un consentement. Et malheureusement rien ne saurait justifier cela. Par ailleurs, mes fournisseurs peuvent par certaines pratiques (réductions, bonus…) inciter les utilisateurs à leur transmettre leurs informations. La majorité d’entre eux malheureusement ne savent même pas les conséquences de ce genre d’action.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage