Une étude d’HP met en lumière des vulnérabilités préoccupantes sur les systèmes de sécurité des domiciles utilisant des objets connectés

100% des systèmes de sécurité les plus connus présentent des failles de sécurité inquiétantes

Bruxelles — HP annonce les résultats d’une étude qui montre que les propriétaires de systèmes de sécurité de leur maison connectés à Internet pourraient ne pas être les seuls à surveiller leur domicile. L’étude prouve que 100% des appareils testés présentent des failles de sécurité inquiétantes, comme par exemple un manque de sécurité sur les mots de passe, le chiffrement ou encore les mécanismes d’authentification.

Les appareils de surveillance domestique, comme les caméras vidéo et les systèmes d’alarme, connaissent un regain d’intérêt depuis qu’ils ont rejoint la grande famille des objets connectés (Internet of Things – IoT). Selon le Gartner, en 2015 le monde comptera 4,9 milliards d’objets connectés, et leur nombre atteindra 25 milliards en 2020[1]. Cette étude révèle combien ce marché est mal sécurisé, ce qui pose problème lorsqu’on met en perspective le taux de croissance attendu de l’IoT.

Par conséquent, les fabricants sont pressés de mettre rapidement sur le marché des systèmes de sécurité incorporant des solutions de supervision à distance. Avec la connexion réseau et l’accès nécessaires pour surveiller ces équipements distants, le risque de faille de sécurité est bien plus important avec ces appareils qu’avec ceux de la génération précédente, non connectés à Internet.  L’étude s’interroge pour savoir si ces équipements rendent finalement nos domiciles plus sécurisés, ou au contraire les exposent à des risques d’accès réseau frauduleux sur des objets connectés peu sécurisés.

« Alors que nous continuons à nous réjouir de la praticité et de l’existence de ces appareils connectés, nous devrions mieux comprendre les risques de vulnérabilité qu'ils peuvent faire courir sur nos domiciles et nos familles », a déclaré Jason Schmitt, Vice-Président et Directeur Général de Fortify, au sein de la division Enterprise Security Products d’HP. « Lorsqu’on sait que 10 des systèmes de sécurité les plus connus manquent de fonctionnalités de sécurité de base, il est du devoir des consommateurs d’adopter des mesures de sécurité simples et pratiques lorsqu’elles existent. De leur côté, les fabricants d'appareils doivent prendre la responsabilité de la sécurité dans leurs produits pour éviter d'exposer leurs clients à de graves menaces sans qu’ils soient informés ».

HP a utilisé  HP Fortify on Demand  pour auditer 10 équipements connectés de sécurisation des domiciles, avec leur composants cloud et les applications mobiles de pilotage. L’étude a montré qu’aucun de ces appareils ne requérait de mot de passe avec un degré de sécurisation minimal, ni de proposait de mécanisme d’authentification à deux niveaux.

Les soucis de sécurité les plus courants et les plus faciles à régler identifiés par l’étude comportent :

Un niveau d’authentification insuffisant : Aucun des systèmes intégrant une interface web et/ou sur mobile ne demandait un niveau de complexité ou de longueur suffisant pour les mots de passe. La plupart d’entre eux se contentaient d’un mot de passe constitué de six caractères alphanumériques. Aucun système ne verrouillait les accès suite à un certain nombre d’accès infructueux.

Des interfaces peu sécurisées : Toutes les interfaces web basées sur le cloud ont montré des failles de sécurité permettant à un hacker d’accéder au compte utilisateur et d’en aspirer le contenu via 3 défauts de sécurité de l’application : énumération des comptes utilisateurs, faible politique de gestion des mots de passe et manque de verrouillage du compte. De même, 5 des 10 systèmes testés ont montré des risques de vol de contenu via l’application d’accès sur smartphone, ce qui expose les clients à des risques similaires.

Questions concernant des informations à caractère privé : Tous les systèmes testés ont collecté certaines informations personnelles telles que nom, adresse, date de naissance, numéro de téléphone et même des numéros de carte de crédit. L'exposition de ces renseignements personnels est une préoccupation, vu les risques de vol du contenu des comptes utilisateurs détectés sur tous ces systèmes.  Notons également que l'utilisation de la vidéo est une fonctionnalité clé de nombreux systèmes de sécurité du domicile, couplée à l’affichage distant depuis des applications mobiles et des interfaces web basés sur le cloud. La confidentialité des images vidéo de l'intérieur de votre domicile devient une préoccupation supplémentaire.

Manque de chiffrement des données transmises : Bien que tous les systèmes étudiés intègrent un mécanisme de chiffrement des données transmises comme SSL ou TLS, plusieurs connexions au cloud demeurent vulnérables aux attaques (par exemple PODDLE). Configurer correctement le chiffrement des transmissions est important dans la mesure où la sécurité est une fonctionnalité essentielle attendue de la part de ces équipements.

Pendant que les fabricants d’objets connectés travaillent sur l’amélioration des fonctions de sécurité attendues, les consommateurs sont encouragés à prendre en compte le critère sécurité lorsqu’ils choisissent un système de surveillance de leur domicile. Mettre en place des réseaux domestiques sécurisés avant d’ajouter des objets connectés peu sécurisés, en optant pour des fonctions de sécurité supplémentaires telles que des mots de passe complexes, les verrouillages de compte et l'authentification à deux niveaux ne sont que quelques mesures que les consommateurs peuvent prendre pour rendre leur expérience des objets connectés plus sûre.

Cette étude est un prolongement de l’étude 2014 HP Internet of Things Research Study qui passait en revue la sécurité des 10 objets connectés les plus courants.

[1] Communiqué de presse Gartner paru en Novembre 2014 “Gartner affirme que 4,9 milliard d’objets connectés seront utilisés en 2015”

Méthodologie

Menée par l’entité HP Fortify et utilisant HP Fortify on Demand, l’étude d’HP sur les systèmes de sécurisation du domicile a testé 10 des équipements connectés les plus couramment utilisés, et recherché les vulnérabilités au moyen de techniques classiques de test mêlant tests manuels et tests automatisés. Les équipements et leurs composants ont été analysés en partant du projet Internet of Things Top 10 de l’OWASP (Open Web Applications Security Project) et des vulnérabilités spécifiques à chacune des 10 catégories définies par l’OWASP.

Les données et les pourcentages de ce rapport sont issus des 10 systèmes IoT testés. Compte tenu de la popularité et de la similitude entre ces 10 appareils, HP Fortify pense que ces résultats donnent une bonne indication de la situation actuelle du marché en ce qui concerne la sécurité et l'internet des objets.

Des informations complémentaires sur la sécurité des applications et sur les détails de cette étude sont disponibles sur le site hp.com/go/fortifyresearch/iot                                  

© 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. The only warranties for HP products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. HP shall not be liable for technical or editorial errors or omissions contained herein.

 

Contactez-nous
A propos de HP Inc.

HP Inc. développe des technologies pour améliorer la vie de chacun, partout dans le monde. Grâce à notre portefeuille d'imprimantes, d'ordinateurs, d'appareils mobiles, de solutions et de services, nous créons des expériences d'exception. Pour en savoir plus sur HP Inc., consultez le site à l'adresse http://www.hp.be.