Archives par mot-clé : objets connectés

Comment appréhender la sécurité des objets connectés

On se rappelle quand 2015, c’est près de 1,4 million de véhicule de la marque Jeep qui ont été retiré du marché.

La cause était dû à la découverte d’une faille de sécurité qui aurait pu permettre à des pirates informatiques de prendre le contrôle du véhicule à distance et c’est que le système de freinage et de direction.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

Durant l’année 2020, NCC Group a effectué étude approfondie portant sur des modèles de sonnette sans fil, des objets connectés produit par la filiale d’Amazon Ring, Vivint et Remo. L’étude a permis de mettre en évidence plusieurs failles de sécurité qui pourrait permettre à des cybercriminels de pouvoir infiltré le réseau de la maison et d’espionner les habitants du domicile ciblés. La conséquence de cette découverte a été plusieurs dépôts de plainte contre le géant américain Amazon, pour manque de protection contre le piratage informatique.

Pourtant, le marché des objets connectés croît de plus en plus. Que ce soit dans les services habituels, dans les hôpitaux ou dans les administrations publiques, il n’est pas rare de trouver un objet dans l’utilisation lèvres purement de l’Internet des objets. Presque tout devient connecté dans notre quotidien et cela est une réalité bien évidente.

L’ensemble des objets connectés constituent un groupe appelé « internet des objets », IoT en pour « Internet of Things ». S’ils continuent d’exploser dans les habitudes de consommation des individus, le pirate informatique le considère aujourd’hui littéralement comme un air de jeux. Selon une analyse récente, entre 2015 et 2018, 20 % d’organisation en été touchée par une attaque informatique impliquant des dispositifs objets connectés. Il devient clair que la protection des objets connectés est clairement une nécessité. Les organisations et les entreprises le savent.

« Se mettre à la place d’un attaquant permet de mieux comprendre le fonctionnement des appareils IoT, en les détournant de leur fonctionnalité première. Ceci permet aussi d’anticiper les actions des attaquants et d’utiliser les mêmes outils et techniques, pour évaluer la sécurité des systèmes IoT et pour trouver de nouvelles vulnérabilités, des failles qui permettent de s’introduire dans le système. Par exemple, une des failles les plus simples d’exploitation pour un cybercriminel est de trouver les identifiants de connexion par une attaque dite de « force brute » afin d’avoir accès a l’appareil. De plus, les utilisateurs ne modifient pas forcément les identifiants définis par défaut lors de la première utilisation. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur (la plupart du temps le même pour chaque type d’appareil) et de se connecter à un appareil afin d’avoir accès au réseau complet. », explique Émilie Bout Doctorante, à l’Inria et Valeria Loscri, Chercheur associé, à l’Inria.

En 2016, le célèbre en botnet Mirai à exploiter cette faille de sécurité. En effet les pirates informatiques derrière sur réseau de zombies ont utilisé un ensemble de dispositifs IoT vulnérables par usage des identifiants et le mot de passe par défaut. L’attaque a été à grande échelle touchant de plein fouet plusieurs entreprises impliquée dans le trafic Web tel que Dyn et OVH ainsi que Airbnb et Twitter.

« Cette faille a aussi permis à des attaquants de s’introduire dans le réseau d’un casino, afin d’avoir accès aux données des clients (identité, numéro de compte, etc.) par le biais d’un thermomètre déployé dans un aquarium. Les failles liées aux spécificités des appareils connectés sont de plus en plus exploitées. Ces appareils fonctionnent sur batterie et sont pourvus de ressources mémoires limitées. Pour saturer le fonctionnement de ces éléments (batterie, mémoire), un attaquant peut envoyer de nombreuses requêtes à l’appareil et ainsi provoquer son arrêt – on parle alors d’attaque par « déni de service » (« DDoS »). L’un des objectifs est d’identifier les « zones à risques » les plus évidentes dans le réseau d’objet connecté, afin de créer des solutions le plus rapidement possible… avant qu’une personne malveillante ne la trouve. On peut considérer cela comme un jeu où deux équipes s’affrontent pendant un temps imparti pour atteindre le même but : trouver la faille – certains la répareront, d’autres l’exploiteront. », expliquent nos chercheuses.

Grâce à cette méthode plusieurs dysfonctionnements a été découvertes. Cela avant que les conséquences irrémédiables ne soient observées. C’est d’ailleurs le cas du modèle vulnérable de la jeep Cherokee abordé plus haut. Cela a aussi permis de pouvoir retirer du marché près de 500 000 pacemakers en Ventes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécurité et objets connectés : Ring adopte le chiffrement de bout en bout

Ring, l’une des filiales du géant américain Amazon, qui est dans la production d’objets connectés souhaite renforcer au mieux la sécurité de ces appareils pour le grand plaisir de sa clientèle.

Pour cela, l’entreprise prévoit de déployer le chiffrement de bout en bout. Une option qui malheureusement ne pourra pas être activée par défaut.

On pourrait tenir seulement que du côté de la société filiale d’Amazon, la question de la sécurité informatique n’est pas prise à la légère. Appartenant au grand groupe Amazon depuis 2018, la société se place comme étant un des leaders en matière d’objets connectés. Dans une récente publication qui a paru sur le blog de l’entreprise, Ring annonce officiellement le département de chiffrement de bout en bout. Chiffrement qui sera dédié à la vidéo, de sorte à protéger au maximum les flux.

Cet article va aussi vous intéresser : La cybersécurité des objets connectés et le travail à distance

À l’heure où l’on vous écrit, le déploiement est en cours. Cependant, il y a malheureusement deux points à soulever :

– Pour le moment ce ne sera qu’un aperçu de la technique de chiffrement, la version finale qui viendra beaucoup plus tard.

– L’option de chiffrement de bout en bout ne sera pas activé par défaut. Les Utilisateurs devront eux même s’en charger.

Par ailleurs, il faudrait préciser important. Même avant le déploiement du chiffrement de bout en bout, la société offre déjà une mesure de protection qui permet de chiffrer la communication. « Par défaut, Ring chiffre déjà les vidéos lorsqu’elles sont envoyées dans le cloud (en transit) et stockées sur les serveurs de Ring (au repos) », rappelle la filiale d’Amazon. Avec le chiffrement de bout en bout, on aura alors une protection supplémentaire, lorsque les vidéos seront stockées sur l’appareil qui sera prévu à cet effet.

À titre de rappel il faut préciser que le chiffrement de bout en bout, est une méthode utilisée par assez de plateformes numériques, pour assurer que les échanges soient confidentiels donc très bien protégés. L’idée est d’empêcher que des informations transmises d’un point A vers un point B, ne puissent être consultées ou consultables si jamais elle venait à être interceptées lors de la transmission. Ce type de chiffrement est utilisé pour les échanges écrits tel que les textos, les photos ou encore les vidéos.

On ne doit pas nier que cette décision de la filiale d’Amazon de pouvoir adopter ce mode de et une initiative qui a été causée par plusieurs polémiques. Déjà durant le mois de février 2020, la société avait finalement opté pour l’utilisation de l’authentification à double facteurs, qui permet de renforcer l’accès aux données fournies par les caméras. C’est une combinaison mot de passe et code temporaire. Qui était envoyé par SMS au propriétaire de la caméra.

« Ces modifications sont la conséquence d’une controverse importante survenue au tout début de l’année dernière, lorsqu’il est apparu qu’une caméra Ring piratée a été utilisée pour parler à un enfant. Au départ, Amazon avait rejeté la faute sur les parents, en laissant entendre qu’ils avaient eu une mauvaise hygiène en matière de sécurité informatique, avant d’admettre qu’il fallait revoir sa copie en la matière. Le chiffrement de bout en bout évitera d’ailleurs que d’autres employés tentent d’accéder aux vidéos de clients. » précise un expert.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Protection des données personnelles : la Fondation Mozilla classifie les appareils en fonction de leurs avantages pour les données d’utilisateurs

Pour la fête de fin d’année, il faudrait bien choisir quoi offrir à ses parents et à ses proches.

Le plus souvent l’idée qui nous traverse touche les objets numériques. Pourtant, tous les appareils ne sont pas tous bons à offrir par rapport à certaines circonstances. C’est dans ce contexte que Mozilla a décidé de publier une liste mettant en avant les appareils qui sont soucieux d’une bonne gestion des données d’utilisateurs. Une liste qui fait l’apologie de certains constructeurs mais qui d’un autre sens dénigre d’autres.

Cet article va aussi vous intéresser : L’impact de l’Internet des objets sur la sécurité des systèmes de contrôle industriel selon Kaspersky

Cette année nous sommes à la 4e édition de la fameuse liste intitulé « Privacy Not Included » en fonction de l’intérêt que porte les constructeurs à la vie privée des utilisateurs de leurs appareils. La liste disponible sur la plate-forme de Mozilla, la Fondation qui se trouve derrière le célèbre navigateur Firefox. La liste comprend 136 produits de la classe des objets connectés.

« En 2017, lorsque nous avons lancé « Privacy Not Included », nous ne savions pas si les gens seraient intéressés par un guide sur la vie privée et la sécurité des jouets, gadgets et produits de maison intelligents connectés. Il s’est avéré qu’ils l’étaient. Et il n’y avait pas que les gens qui étaient intéressés. Nous avons découvert que les entreprises l’étaient aussi », explique la fondation. Il faut noter que dorénavant les visiteurs de sa plate-forme peuvent aussi participer au classement dans leur appréciation de la chose coût d’un produit qu’il aurait utilisé

« Nous sommes conscients que les gens veulent simplement savoir quels produits sont sûrs et lesquels ne le sont pas. Nous sommes Mozilla – pas une société d’évaluation de produits de consommation – donc nous ne dirons pas « Achetez ceci, n’achetez pas cela ». Nous avons plutôt utilisé notre expertise technique pour créer un ensemble de normes de sécurité minimales auxquelles nous pensons que tous les produits devraient répondre pour être vendus dans les magasins », souligne de ce fait la direction de la fondation.

Dans la liste des plus réputés comme étant problématiques pour les données personnelles des utilisateurs, 3 grands groupes sont mis sur la sellette. Ce sont notamment Amazon Moleskine et Facebook.

La fondation à épingler plusieurs produits du géant américain Amazon parce qu’elle estime qu’elle est trop minimaliste pour ce qui en est la gestion de la vie privée et de la protection des données des utilisateurs de ces produits. Certaines pratiques de Amazon selon Mozilla pourraient se caractériser littéralement comme criminelles. En particulier avec son produit Halo, le bracelet connecté produit par le géant américain du e-commerce. Les personnes qui ont procédé à la sélection non qualifiée comme « le plus effrayant des traqueurs de fitness jamais vu. Le problème n’est pas que toutes les données collectées par ce dispositif sont conservées de manière non sécurisée, Amazon fait un bon travail de sécurisation des données. Le problème est de savoir à quoi Amazon peut potentiellement utiliser toutes ces données ». Selon ces derniers, le bracelet connecté de Amazon ne se contente pas seulement de mesurer l’activité physique de son utilisateur, mais il écoute aussi et en utilisant des procédés de machine learning, il exige certaines activités tel que se prendre en photo en sous-vêtement dans le but de voir l’évolution du taux de graisse. Il est vrai que Amazon a certifié ne pas utiliser les informations collectées par Halo dans un but commercial, cependant, la recommandation de produits que reçoivent les utilisateurs du bracelet les poussent à penser autrement. Et malgré ceci, le bracelet continue d’engranger des données biométriques de ses utilisateurs. « Nous classons ça dans la catégorie « Ce n’est pas parce que vous pouvez que vous devez le faire » », notaient dans leur rapport les auteurs de la sélection.

Du côté de Facebook, la méfiance concerne l’utilisation de son Portal. En pratique, il faut soulever le fait que le réseau social n’a pas une bonne réputation en ce qui concerne la gestion et la sécurité des données personnelles des utilisateurs de ces plateformes. Facebook « a un bilan assez catastrophique en matière de protection de la vie privée de ses utilisateurs », et la fondation Mozilla s’inquiète : « aujourd’hui, ils demandent aux gens de dépenser quelques centaines de dollars pour installer chez eux un appareil doté d’une caméra intelligente alimentée par l’intelligence artificielle et capable de suivre tous leurs mouvements, ainsi qu’un microphone à écoute permanente alimenté par Alexa ». Selon la fondation, si jusqu’à présent aucun fait concret ne permet de douter de Facebook, en particulier pour l’utilisation de son objet connecté, il ne faudrait surtout pas oublier ses antécédents. « C’est compte tenu du terrible bilan de Facebook en matière de respect de la vie privée que nous sommes très inquiets », expliquent alors les auteurs de la sélection. « La question est de savoir si Facebook a à cœur vos intérêts lorsqu’il collecte toutes les données que cet appareil est capable de collecter. Dans le passé – depuis Cambridge Analytica et au-delà – la réponse à cette question a trop souvent été non », concluent ces deniers.

Hormis les deux géants américains, Les constructeurs tel que Moleskine, DJI, Xiaomi sont aussi pointé du doigt à travers leur mauvaise réputation pour la gestion des données de leurs utilisateurs. Ces derniers présenteraient des carences palpables en termes de protection des informations d’utilisateurs.

Mais au-delà de ceci, plusieurs objets provenant de constructeurs connus tel que Apple, Nintendo ou Jabra, ont reçu des très bonnes notes de la part de la sélection de Mozilla.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’impact de l’Internet des objets sur la sécurité des systèmes de contrôle industriel selon Kaspersky

Dans le secteur industriel, la numérisation progresse à grand pas.

Et cela implique nécessairement de faire une approche assez objective de la situation face à la menace informatique qui elle aussi progresse.

Une étude récente menée par la société russe spécialisée dans la sécurité informatique Kaspersky, aborde clairement le sujet. Le rapport produit par la société à l’issue de cette étude s’intitule « État de la cybersécurité industrielle à l’ère de la numérisation ». On peut lire dans le rapport que 55 % des organisations approchées estime que l’Internet des objets va influencer grandes l’organisation de la sécurité informatique des systèmes de contrôle industriel. 20 % des entreprises ont déjà estimé que la priorité doit être du côté de l’internet des objets pour les incidents informatiques à observer les années à venir dans le secteur.

Malgré la pandémie à coronavirus, le secteur des industries n’a pas pour autant freiné sa transformation numérique. L’objectif est d’atteindre l’industrie 4.0 avec le déploiement de nouvelles infrastructures beaucoup plus automatisées. McKinsey & Company a démontré lors d’une étude récente que le secteur industriel en particulier l’industrie manufacturière et la supply chain (99%) ont déjà en projet, le recrutement des professionnels ayant des compétences en matière de numérisation. Les entreprises qui avait déjà entamé la transformation numérique, sont encore plus en confiance depuis le début de la pandémie selon l’étude.

En outre, la transformation numérique des industries interpelle aussi sur certains faits. La question de l’Internet des objets. Quand on parle d’Internet des objets, l’une des premières références est sans nul doute la question de sécurité informatique surtout dans un secteur aussi sensible que celui des industries. À ce sujet l’étude de Kaspersky démontre que :

– 20 % les entreprises soient une entreprise sur 5 considère comme principale préoccupation les cyberattaques des régies contre les dispositifs IdO industriel. Ici le risque et totalement appréhendé comme inhérent à la stratégie de numérisation.

– 15 % de ces entreprises craignent le plus l’exfiltration de données ;

– 15 % autre, les attaques des contre la supply chain.

C’est pour cette raison que l’ensemble des stratégies visant une quelconque numérisation des secteurs industriels doit être accompagné par des spécialistes de sécurité informatique. Il a été observé en 2020 que près de 44 % des entreprises, implique directement les professionnels de la sécurité informatique sur les initiatives destinées à protéger les dispositifs de l’Internet des objets et les technologies d’opération numérisées.

Le bémol, le rapport précise malheureusement qu’une grande partie des entreprises reconnaissent, ne pas être prête à lutter contre de potentielles Attaques informatiques dirigées particulièrement vers l’internet des objets. En effet, seulement 19 % ont déployé suffisamment de ressources pour leur permettre de surveiller leur réseau informatique et les trafics. Seulement 14 % d’entre elles ont adopté des solutions permettant de détecter des potentielles anomalie du réseau. De la sorte, les équipes charger de la sécurité peuvent facilement suivre les activités malveillantes lorsqu’elles sont initiées sur le réseau.

« Lorsque les entreprises industrielles mettent en place des dispositifs connectés et des systèmes intelligents, elles doivent faire en sorte d’avoir le même niveau d’exigence en matière de protection. Pour y parvenir, la protection doit être prise en compte dès le début d’un projet. Les dispositifs IoT doivent être sécurisés en leur cœur afin de prévenir toute tentative d’attaque contre eux. Avec la protection du trafic et d’autres technologies, l’ensemble du réseau est sécurisé dès sa conception et protégé contre les cyber-risques », souligne Grigory Sizov, chef de l’unité commerciale KasperskyOS de Kaspersky.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La cybersécurité des objets connectés et le travail à distance

Quelle approche critique des deux réalités du mot numérique ?

Le travail a distance est devenu aujourd’hui un standard professionnel. Une bonne partie des entreprises basculer vers ce modèle de travail. Malheureusement, ce système a aussi contraint, l’utilisation massive des outils personnels dans le cadre du travail. Et cela n’a pas rangé la question de la cybersécurité qui était d’abord un problème très prégnant.

Cet article va aussi vous intéresser : Confinker : Les objets connectés à l’épreuve d’un vieux programme informatique

En effet, selon une étude menée par Loockout une entreprise spécialisée dans la cybersécurité, le premier trimestre de 2020 a vu une augmentation des attaques visant les mobiles par phishing de plus de 37 %.

Au cours des trois premiers mois de 2020, le nombre d’attaques de phishing sur mobile s’est accru de 37% d’après les chiffres de Loockout. Comme il est de coutume, les pirates informatiques ont tendance à utiliser des phénomènes sociaux pour initier leur compagne de cybercriminalité. Soit pour mettre en vente certains produits, ou pour utiliser une situation quelconque pour soutirer de l’argent aux utilisateurs imprudent

« Les attaquants exploiteront toujours des événements sociétaux tels que crises sanitaires, campagnes politiques ou lancements de produits majeurs pour inciter leurs victimes à oublier les avertissements de sécurité.

En exploitant un thème plus personnel qui génère une réaction instinctive, l’attaquant crée une situation où sa victime n’inspectera plus le lien ou la page web qu’il lui présente et cliquera dessus sans réfléchir. » décrit la société Lookout.

Selon la société de sécurité, avant même la pandémie à coronavirus, c’est comme pour 50 % des utilisateurs des suites de Microsoft Office 350 ou de la Google G Suite était beaucoup plus exposés aux cyberattaques que les autres. La tendance continue avec les outils fournis par les géants de la Tech. C’est d’ailleurs le cas avec Alexa, l’assistant vocal de Amazon. On comprend alors, que la possibilité des attaques venant de la part des cybercriminels peut échanger à n’importe quel moment des noms comme des circonstances et des opportunités.

Effectivement la majorité des personnes croient qu’une attaque de type phishing viendra forcément d’un email corrompu, qui mènera l’utilisateur vers un faux site qui relèvera ses identifiants ou autres informations. Alors que dans la pratique, la majorité des liens mais non vers des faux viens une fois des SMS ou des plateformes de réseaux sociaux tels que Facebook, Twitter ou WhatsApp. Ce sont les utilisateurs mobiles qui sont maintenant les plus ciblés par ce genre de campagne. Surtout les liens ne savent plus exclusivement à diriger vers défaut site internet. Ils peuvent être utilisés pour infecter le terminal de la victime, en y exécutant automatiquement des programmes malveillants, qui pourront être utile aux pirates pour exfiltrer les informations qu’ils veulent ou même espionner l’utilisateur ciblé.

C’est pour cette raison, que les équipes chargées à la sécurité des systèmes d’information, doivent réaliser que de simples outils la protection contre les cyberattaques ne peut pas protéger leurs systèmes et leurs employés de ce genre d’actes. Plusieurs mesures de sécurité de pratiques doivent être instaurer. Il a notamment l’utilisation des VPN, la mise en place d’authentification à multiples facteurs, et l’utilisation de solutions MDM (Mobile Device Management), pour la gestion de ces terminaux. En plus de cela un contrôle pointilleux doit être organisé autour des différences d’utilisateur car peu importe la mesure de sécurité développé, la faille principale est l’être humain.

A ce propos, l’entreprise de sécurité Lookout soulignait : « Vos équipes informatiques et de sécurité ne peuvent plus s’appuyer sur leur infrastructure de sécurité traditionnelle pour protéger l’entreprise.

Les terminaux mobiles doivent désormais bénéficier du même niveau de protection que les postes de travail.

Intégrer une plate-forme de sécurité mobile dans la stratégie de sécurité de votre organisation permettra à la fois de sécuriser les terminaux et de garantir la conformité de l’ensemble de la flotte mobile, de protéger les employés contre le phishing mobile, et d’éliminer tout risque de fraude sur mobile pour les consommateurs.

En comprenant l’extension de l’environnement des menaces, vous pourrez former vos employés sur les moyens de déceler les tentatives de phishing et les activités malveillantes.

La première ligne de défense contre une attaque de phishing n’est autre que les utilisateurs, et la formation de ces derniers à la sécurité sur mobile est donc hautement prioritaire pour n’importe quelle entreprise.

Votre plate-forme de sécurité mobile devra aussi être capable de protéger à la fois les employés et les consommateurs contre l’ensemble du spectre des risques mobiles. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage