Archives pour la catégorie Objets Connectés

Les objets connectés sont le plus souvent la cible de piratage dû au fait de leur faible protection.

Une faille de sécurité menace de millions d’objets connectés

Dans le courant de la semaine, il a été avancé publiquement la découverte d’une faille de sécurité dans le protocole UPnP.

Ce qui constitue une menace pour plusieurs millions appareils connectés à travers le monde. La vulnérabilité a été découverte part un spécialiste de la sécurité informatique du nom de Yunus Çadirci. Elle permet, à toute personne pouvant l’exploiter, de voler les informations personnelles des utilisateurs, de pouvoir scanner les réseaux Internes, ce qui permettra d’initier facilement des attaquants de déni de service (DDoS).

Cet article va aussi vous intéresser : Les entreprises privées face aux vulnérabilités des objets connectés

La découverte de la faille de sécurité a été annoncée publiquement par Yunus Çadirci, le chercheur responsable de la découverte, ce mercredi 2020 c’est-à-dire hier. Le chercheur a qualifié la faille de sécurité de critique.

La vulnérabilité affecte le protocole UPnP (Universel Plug & Play). Un protocole qui fut élaboré pour permettre aux objets connectés de pouvoir interagir facilement entre eux, lorsque ces derniers sont branchés sur le même réseau. Le problème avec ce protocole, c’est qui n’admet pas de mécanisme d’authentification ou des vérifications d’identité. Cela s’explique par le fait qu’il a été conçu pour fonctionner sur un réseau local. Ce petit problème de sécurité (mais qui n’est pas négligeable du tout) a toujours contraints plusieurs fabricants souhaitant l’inclure dans leurs objets connectés tels que les téléviseurs, les consoles de jeux les routeurs, les impriment et bien d’autres, à désactiver le protocole par défaut. La latitude est donc laissée à utilisateur de pouvoir l’utiliser, en l’activant lui même (à ses risques et périls). Cependant, le chercheur à l’origine de la Découverte Yunus Çadirci signifie que la vulnérabilité (qui a été baptisée entre temps « Callstranger »), « se situe justement dans la fonction Subscribe (S’inscrire en français) du protocole. Cette vulnérabilité peut avoir des conséquences multiples. Elle permet à un pirate de scanner les réseaux internes depuis un appareil vulnérable pour ensuite en exfiltrer des données. Autre possibilité, le hacker peut se servir de CallStranger pour enrôler un appareil vulnérable dans un botnet pour lancer des attaques DDoS. ».

La bonne nouvelle, un correctif de sécurité est désormais disponible. Il a été développé par Open Connectivity Foundation en abrégé OCF. Notons en outre que l’Open Connectivity Foundation est une fondation, qui visent la promotion de l’Inter connectivité entre les outils informatiques. C’est d’ailleurs elle, qui a sous sa responsabilité le protocole UPnP. Donc, elle est à cet effet, chargé du développement de l’amélioration dudit protocole. La mise à jour de sécurité pour colmater la faille de sécurité est disponible pour téléchargement sur son site officiel.

En outre, la faille de sécurité affecte 5,4 millions d’appareils connectés utilisés dans le monde. On peut citer à titre d’exemple tous les ordinateurs qui fonctionnent avec Windows 10 comme système d’exploitation, les consoles de jeux Xbox One, les TV connectées Samsung, les routeurs et modems signés Huawei, Cisco ou D-Link et les imprimantes HP, Canon et Epson.

L’Open Connectivity Foundation et le spécialiste de la sécurité Yunus Çadirci ont indiqué à l’endroit des constructeurs des objets connectés la nécessité, du moins pour le moment, de « désactiver la fonctionnalité Subscribe du protocole UPnP dans la configuration par défaut ». Et comme la vulnérabilité touche de façon particulière un protocole, il faudrait attendre très longtemps avant le déploiement de potentiels correctifs de sécurité de la part des constructeurs. De toutes les façons, Yunus Çadirci soulignait : « On ne s’attend pas à ce que les utilisateurs à domicile soient directement ciblés. Si leurs objets connectés ont des terminaux UPnP, il est néanmoins possible que leurs appareils puissent être utilisés comme source d’une attaque DDoS ».

Notons que les failles de sécurité découvertes sur les objets connectés attirent généralement moins attention que celles découvertes sur des smartphones ou des ordinateurs. Pourtant le danger reste le même. L’utilisateur est donc exposé ainsi que l’ensemble de ses données. Comme nous l’avons mentionné plus haut, les mises à jour prennent toujours plus de temps avant d’être déployé. Au final certaines vulnérabilités ne seront jamais corrigées. Au grand risque des personnes qui seront exposés. C’est pour cette raison il est recommandé utilisateurs des objets connectés de toujours choisir leurs outils parmi le constructeur qui font des mises à jour de sécurité une de leurs priorités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Compteur Linky : une question de données personnelles

Les compteurs électrique Linky, dans la catégorie des objets connectés ont été déployés depuis maintenant 3 ans en France.

Cependant, la CNIL (Commission Nationale de l’Informatique et des libertés) ne cesse depuis un certain moment d’émettre des inquiétudes à propos de ce nouvel outil informatique. L’autorité administrative indépendante s’intéresse à la manière dont les données récoltées auprès des utilisateurs sont traités par les fournisseurs. Alors il sera opportun de s’interroger sur la nature des informations pouvant être collectées par ces compteurs Linky, et comment limiter pour que le fournisseur ne puisse avoir accès à certaines informations.

Cet article va aussi vous intéresser : La position de la Commission Nationale Informatique et Libertés sur l’appli de traçage mobile

Il faut noter que depuis son déploiement, cette nouvelle technologie qui était censée faciliter la vie des utilisateurs n’a cessé de faire grincer les dents. Plusieurs spécialistes ont toujours cherché a mettre en avant les pratiques intrusives liés à l’utilisation de ces compteurs. Et jusqu’à présent, vous trouverez des personnes opposées aux compteur Linky. Selon ces derniers, le boîtier jaune présent sur le compteur, d’Enedis, serait un outil qui permet aux fournisseurs d’énergie d’espionner leurs clients. Cependant cela semble un peu exagéré même si les raisons qui les poussent à le croire sont concrète. En effet, le titre du compteur Linky est de permettre aux usagers d’un tel outil de pouvoir consulter à distance des données de consommation, ce qui leur permettra bien sûr déterminer le mode de consommation ainsi que les facturations afin d’adapter leur abonnement. Et malheureusement s’il y a quelque chose qui ne peut-être à nier, c’est que rien ne garantit que les fournisseurs d’énergie ne détournent pas les informations collectées afin de pouvoir étudier certaines habitudes de consommation de leurs clients. D’où la fameuse problématique de l’atteinte à la vie privée des compteurs Linky. Jusqu’à présent, il n’y a pas une vue claire et nette des informations collectées et transmises aux fournisseurs d’énergie.

Notons par ailleurs que la Commission Nationale de l’Informatique et des libertés avait réussi à mettre la main sur certaines pratiques illégales en matière de protection de la vie privée et la gestion des données personnelles, des fournisseurs d’énergie tels que EDF et Engie. Ils ont été reconnus coupable par l’autorité administrative française d’avoir récolté les données de consommation de leurs utilisateurs sans au préalable, demander leur consentement explicite. Il y va aussi du non-respect du temps légal de conservation des données récoltées.

Du côté des compteurs Linky, il faut noter que le processus de transmission des informations des usagers a été validé par l’Agence Nationale de sécurité des systèmes d’information (l’ANSSI), l’autorité en charge de la protection les systèmes d’information et réseau de l’État ainsi que l’encadrement et la supervision de la cybersécurité les structures privées (société commerciales, ONG, Hôpitaux…). Selon cette dernière, aucune donnée personnelle nominative et informative  ne doit être récolter par les compteurs Linky. En d’autres termes, les adresses, les noms et prénoms, les emails le numéro de téléphone. Pour résumer les informations collectées par ces outils sont anonymisés. La seule donnée qui est récoltée permettant une certaine identification et le numéro du compteur. Mais pour l’utiliser à des fins d’identification, il est bien sûr nécessaire de le croiser avec des informations qui ne sont détenues, dans un fichier consommateurs, que par le fournisseur principal, Enedis. De plus, les informations liées à la consommation d’énergie ne sont transmis que de manière chiffrée aux différents fournisseurs et cela, avec le consentement préalable de l’utilisateur.

Pour la Ligue des droits de l’homme : « le compteur Linky selon lui est « très bavard » car que le transfert des données très détaillées sur la consommation d’électricité des foyers permettrait de connaître notamment les heures ou périodes d’absence, les heures de lever et de coucher ou encore le volume d’eau consommé (sous certaines conditions) et donc par déduction le nombre de personnes présentes dans l’habitation. ». Toutefois, il faut soulever le fait que les données ne peuvent être accessibles par le fournisseur que si l’utilisateur le consent librement et expressément. Une fois ce consentement délivré, il est alors en effet possible pour Enedis d’avoir connaissance de certaines informations très personnel de son compteur. Ce qui est problématique pour la vie privée même en présence d’un consentement. Et malheureusement rien ne saurait justifier cela. Par ailleurs, mes fournisseurs peuvent par certaines pratiques (réductions, bonus…) inciter les utilisateurs à leur transmettre leurs informations. La majorité d’entre eux malheureusement ne savent même pas les conséquences de ce genre d’action.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Confinker : Les objets connectés à l’épreuve d’un vieux programme informatique

Dénommé Confinker, ce programme malveillant vieux qui existe depuis de 12 ans, aurait refait surface, selon un rapport publié par la structure spécialiste de la télécommunication américaine.

Ce programme qui avait fait son apparition en 2008 fonctionnait en mettant à profit des failles de sécurité présentes dans le système d’exploitation de Microsoft, Windows XP, pour générer un botnet. Déjà en 2009, soit un an après sa mise exécution, ce programme malveillant avait réussi à infecter près de 15 millions de machines à travers le monde entier. En 2015, malgré le fait qu’il était considéré comme étant un programme malveillant peu dangereux, il avait quand même infecté près de 400 000 postes. Et se fondant par la suite sur la propagation des objets connectés, ce nom a facilement atteint les 500 000.

Cet article va aussi vous intéresser : Les entreprises privées face aux vulnérabilités des objets connectés

Selon les experts, le logiciel en question n’est plus véritablement exploité par ces concepteurs. Toutefois, récemment, suite à un incident qui fut rapporté par un outil édité par Palo Alto Networks, qui a permis d’observer à nouveau ce programme malveillant à l’œuvre : « Nous avons observé un trafic réseau anormal, notamment un trafic SMB (Server Message Block) excessif, des algorithmes de génération de domaine (DGA) utilisés par les appareils infectés, ainsi que des modèles spécifiques dans les tentatives d’exécution de code Shell Conficker. », explique May Wang, une ingénieure chez Paulo alto Network, par ailleurs l’ancienne directrice technique de Zingbox.

Selon le spécialiste des télécommunications américain, moins d’ « une entreprise cliente sur cinq  a détecté le malware sur son infrastructure au cours de ces deux dernières années. ». Et parmi elles, on pourra citer un hôpital. En effet, cet hôpital a malheureusement eu des machines d’analyse, précisément celle destinée à la mammographie. Malgré certaines actions menées par le personnel pour se débarrasser de ce programme, surtout en redémarrant les machines infectées, le virus refit surface juste quelques minutes après leurs mise en route. Cela s’explique tout simplement par le fait que les machines touchées n’avait pas reçu depuis longtemps de correctifs de sécurité. Par conséquent, elles étaient entachées de plusieurs failles de sécurité qui les rendaient vulnérables. Cet événement a conduit l’établissement hospitalier à mettre hors service l’ensemble de ces machines du même type, pour s’assurer de la maintenance et d’y apporter les mises à jour nécessaires. Pour cela, plusieurs activités de l’hôpital ont été suspendue pour cela, et cela pendant presque une semaine.

En outre, l’on s’interroge de savoir qu’est-ce qui a causé ce problème ? comment cela se fait que plusieurs appareils puissent être infectés par un vieux ver qui est censé être inoffensif dorénavant?

Tout simplement parce que les objets touchés ne sont pas vraiment inspectés. Ils ont tendance à être négligés par les spécialistes en charge de la sécurité informatique des infrastructures, contrairement au ordinateurs et autres appareils. Et ce problème est récurrent pour tout les appareils connectés. Et sans exagérer, il faudrait s’attendre à une recrudescence des programmes malveillants destinés à l’attaque des objets connectés.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



La serrure numérique, une question de sécurité informatique

L’avantage de ces outils connectés, c’est qu’ils sont très pratiques.

Ils permettent par exemple à un enfant qui a perdu son trousseau de clés de pouvoir rentrer sans souci dans son domicile ou permettre à un parent qui passe à l’improviste d’accéder au domicile à travers une clé virtuelle. Mais leur caractère connecté, pose le plus souvent la problématique de la sécurité.

Cet article va aussi vous intéresser : Les menaces informatiques des nouveaux outils connectés

Ce sont les outils qui sont assez populaires aux États-Unis. En France par contre, le déploiement d’un tel système se fait très lentement. D’un autre côté, il existe différents modèles et modes de fonctionnement, c’est ce qui marque une grande variation de ce produit connecté. Alors qu’il existe certains qui complètent les verrous qui existent déjà, d’autres les ont complètement remplacé. Il y a certains modèles qui peuvent être déverrouiller grâce à un objet qui prend la forme d’une clé, d’un d’un porte-clé ou même un bracelet. Pour certains modèles suffit de taper un code pour que la porte s’ouvre alors que d’autres possèdent des enceintes Bluetooth permettant à l’utilisateur de le déverrouiller grâce à un smartphone. C’est d’ailleurs par ce procédé qu’il est possible d’envoyer une clé virtuelle à une autre personne. En tenant compte de cette spécification. Ces serrures numériques doivent être assez solide non seulement sur le plan mécanique mais aussi sur le plan technique et informatique. Car, le premier danger ne sera pas une effraction classique mais plutôt un piratage.

 Selon une enquête menée près des spécialistes du journal Le Monde, il a été révélé que dans la majeure partie des cas ces serrures numériques ne répondaient pas aux normes de sécurité requises. Selon Anthony Rose et Jake Krasnov, 70 % des serrures testées présentait un niveau de sécurité jugé « nul ou pauvre ». Nos chercheurs noterons : « A l’époque, nous avons relevé des erreurs sur beaucoup de produits vendus comme sûrs ». Cependant aujourd’hui, ces derniers estiment que le niveau de sécurité de ses outils a quand même connu une évolution : « Beaucoup d’entreprises prennent désormais le temps de concevoir des applications robustes et de sécuriser [les communications]. L’idée est de faire en sorte qu’une attaque coûte trop cher au voleur, ou prenne trop de temps comparativement à un autre type d’attaque [mécanique par exemple]. Toutefois, le marché comporte toujours beaucoup de serrures connectées qui rognent sur la sécurité. »

Du côté du Centre national de prévention et de protection (CNPP), le directeur du pôle laboratoire malveillance, Hervé le Coq et Ibrahim Daoudi, un ingénieur informatique ont noté aussi que le niveau sécuritaire des serrures numériques a beaucoup progressé depuis 2016. L’institution reconnait de façon officielle que la serrure répondant à la norme A2P sont assez résistantes ils peuvent offrir à leur utilisateur une protection adéquate. Pour le moment, je ne sais pas encore prononcer sur celles qui répondent à la norme A2P@, alors que les premières serrures qui ont fonctionné avec ce protocole n’ont reçu qu’une seule étoile sur 3. « Cela correspond à un agresseur de niveau 1, un “script kiddie” [un débutant] qui, pour schématiser, reproduit des tutoriels d’effraction repérés sur YouTube. Nous n’avons pas encore testé de serrure qui mérite une deuxième étoile, et serait donc capable de résister à un informaticien doté de petites connaissances en hacking. Encore moins à un agresseur de niveau trois, un expert en cybersécurité malveillant. », en outre, « il n’est pas complètement impossible qu’un jour nous retirions le certificat numérique A2P@ à une serrure connectée, si une faiblesse importante est repérée. ». Notait le responsable de la CNPP. Car en pratique, il est totalement impossible pour les experts de la sécurité informatique de prévoir toutes les failles de sécurité sans y être confrontées directement par une attaque.

Comme quoi, il existe toujours une vulnérabilité peu importe les moyens de sécurité déployés.  « Une chose contre laquelle il est impossible de planifier sa défense, ce sont les nouvelles failles informatiques, les “zero-day. Elles peuvent introduire une faiblesse que le concepteur n’a jamais envisagée, lui ou les éventuels sous-traitants qui l’aident en testant la sécurité de l’appareil avant sa sortie. » expliquait-Anthony Rose.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



La problématique des éclairages connectées

Des spécialistes de la sécurité ont sans cesse chercher à démontrer les vulnérabilités auxquelles s’exposent les entreprises dans un usage non mesuré des objets connectés.

Ces dispositifs peuvent permettre aux pirates informatiques, de s’en prendre à ces dernières, à travers des failles qui depuis toujours ont été démontré.

Cet article va aussi vous intéresser : Comment sécuriser les objets connectés en entreprise ?

Les ampoules connectées n’échappent pas à la problématique. Étant aussi les objets connectés, avec d’autres outils utilisés constamment dans les infrastructures, ses outils quand ils ont beaucoup de caractéristiques liées à leur conception. En parlant notamment d’économie d’énergie, de pilotage centralisé et les ajustements conditions de travail en temps réel. En dépit des nombreux avantages que ces dispositifs proposent, il ne faudrait pas occulter pourtant le caractère dangereux sur le plan de la sécurité informatique. Ce n’est un secret pour personne. Leurs failles de sécurité sont exploitables à distance, pouvant mettre en pire et le système d’information de l’entreprise. 

La société spécialisée dans la sécurité informatique, Checkpoint a mené des études concernant les vulnérabilités que pourraient présenter les ampoules connectées lorsqu’elles sont affiliées à un réseau d’entreprise où dans le système informatique d’une collectivité territoriale par exemple. Ce test tombe à point nommé vu l’ampleur que ces outils commencent à prendre, avec leur déploiement massif depuis maintenant quelques mois. Les ampoules connectées utilisées pour ce test étaient des Philips hues. L’une des premières technologies de ce type commercialisées au grand public.  Plusieurs vulnérabilités ont été mises un jour, des failles de sécurité qui était facilement exploitables à distance.

Les chercheurs de Checkpoint ont découvert la vulnérabilité précisément dans le protocole sans fil ZigBee. Un protocole utilisé dans le contrôle de plusieurs objets connectés. La faille découverte par les spécialistes existe depuis maintenant 2017. Elle a permis alors à ces derniers de prendre contrôle d’une des ampoules de Philips pour y installer un micro programme malveillant. Ensuite à travers cet exploit, le propager aux autres ampoules connectées se trouvant à proximité. Ils réussirent même à attaquer le contrôleur des ampoules connectées, leur ouvrant ainsi la porte au système informatique de l’entreprise. Yaniv Balmas, le responsable de la recherche chez Check Point Research déclare a cet effet : « Beaucoup d’entre nous sont conscients que les objets connectés peuvent poser un risque pour la sécurité, mais cette étude démontre comment même les dispositifs les plus banals, apparemment « passifs » tels que des ampoules électriques, peuvent être exploités par des pirates et utilisés pour prendre le contrôle de réseaux ou installer des logiciels malveillants. (…) Il est essentiel que les entreprises et les particuliers se protègent contre ces attaques potentielles en mettant à jour leurs appareils avec les derniers correctifs, et en les séparant des autres appareils de leurs réseaux pour limiter la propagation d’éventuels logiciels malveillants. (…) Nous ne pouvons pas nous permettre de négliger la sécurité de tout ce qui est connecté à nos réseaux. ».

Grâce à cela, le fabricant des ampoules connectées mise cause, Philips a corrigé la faille de sécurité. Il assure même que les ampoules plus récentes ont été dépouillées de cette vulnérabilité. Mais cet exploit des spécialistes de Checkpoint a permis de mettre en évidence le fait que le système de sécurité implanté dans ces dispositifs connectés ne sont pas encore maîtrisé totalement malgré le fait qu’ils existent depuis longtemps. Ce qui est bien sur les rend idéal pour de potentielles attaques informatiques. C’est justement pour cela que le directeur technique de EMEA chez Infoblox, Malcolm Murphy, déclarait : « Les dispositifs connectés personnels sont facilement repérables par les cybercriminels, ils constituent un point d’entrée faible dans le réseau et représentent un risque sérieux pour la sécurité de l’organisation. Sans une vision complète des politiques de sécurité des appareils connectés à leur réseau, les équipes informatiques mènent une bataille perdue d’avance pour assurer la sécurité du périmètre réseau en constante expansion. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage