Les murs ont des oreilles, un accès au wifi, une caméra et une très mauvaise sécurité

Les objets connectés envahissent peu à peu notre quotidien, de notre lieu de travail à notre propre domicile. Thermostats ambiants, interrupteurs, portes de garages, caméras, interphones, fours, plaques chauffantes et baignoires deviennent certes « intelligents » mais surtout connectés. Ainsi, d’un simple clic sur notre smartphone, où que nous soyons (pourvu que nous ayons une connexion internet), nous pouvons récupérer certaines informations de ces machines (image, son, température, etc.), puis, selon notre bon vouloir, réguler leur activité (éteindre, allumer, régler, etc.). Si les fabricants de ces objets les ont conçus pour justement suivre « notre bon vouloir », une équipe de l’Université Ben Gourion du Neguev (BGU) vient de démontrer qu’ils sont en fait conçus pour suivre un « vouloir », tout court, qui pourrait d’une part ne pas être nécessairement le nôtre, mais surtout pas forcément bien intentionné d’autre part.

L’équipe du docteur Yossi Oren du Département de Logiciels et Ingénierie des Systèmes d’information a ainsi réalisé une étude sur la sécurité de 16 objets connectés actuellement en vente. Les résultats, très alarmants, ont été présentés en novembre dernier lors de la conférence internationale « Smart Card Research and Advanced Applications » à Lugano (Suisse) et publiés par l’éditeur scientifique Springer en janvier dernier (voir lien en fin d’article).
Leur objectif était de se glisser dans le rôle d’une personne malveillante, prenant ces objets connectés pour cible de leur attaque. Ils ont donc acheté 12 caméras connectés, 2 moniteurs pour bébé, 2 interphones et 1 thermostat ambiant, puis en ont analysé le fonctionnement en utilisant une méthodologie dite de rétro-ingénierie, où l’objet devient une « boîte noire ». Cette méthodologie consiste à isoler l’équipement de son environnement, d’en identifier les entrées et sorties actives (les différents ports, capteurs, etc.), puis d’en déterminer le fonctionnement interne en testant différents signaux d’entrée et en analysant les signaux de sortie résultants.
Par exemple, pour le thermostat, si l’on modifie le signal d’entrée du thermomètre interne (« la température passe de 25°C à 26°C », alors que le thermostat est réglé sur 25°C), cela va entraîner une réponse (« baisse du niveau de chauffage »), qui va permettre d’en déduire le rôle de l’appareil. Bien sûr, cette étude se fait principalement sur le système électronique interne de ces machines, mais c’est une méthode robuste qui a l’avantage de pouvoir être appliquée sur n’importe quel équipement, y compris si celui-ci est de marque ou de type inconnu.

Une méthodologie précise et systématique a ainsi été employée en utilisant une combinaison d’équipements électroniques et d’outils informatiques à la portée d’éventuelles personnes malveillantes. Par exemple, la plupart des outils informatiques, tels que des algorithmes de récupération de mot de passe, sont accessibles gratuitement en ligne.

Pour commencer leur étude, le Dr. Oren et son équipe ont cherché s’il existait une connexion directe au circuit imprimé. Autrement dit, les chercheurs ont cherché la présence de « portes dérobées » physiques, permettant de se connecter directement à la carte mère, essentiellement pour réaliser des tests lors du design et de la fabrication des circuits imprimés. L’accès au système principal étant défendu par un mot de passe, les chercheurs ont utilisé différents algorithmes permettant de tester différents mots de passes (combinaison de lettres, chiffres ou symboles) à très grande vitesse. Parmi les 16 mots de passe des 16 objets, 12 furent découverts et craqués en seulement quelques jours (quelques heures pour certains). Les chercheurs ont également cherché à savoir s’ils pouvaient « hacker » l’objet à distance via sa connexion internet et sont parvenus à le faire pour quelques uns des objets étudiés.
Ainsi, une fois l’accès au système interne assuré par accès physique ou à distance, les chercheurs ont alors étudié comment cet accès pouvait être utilisé pour nuire, par exemple en accédant aux identifiants wifi stockés dans l’appareil et permettant à l’objet de se connecter à internet, en autorisant l’accès à l’appareil à des personnes non-autorisées ou en modifiant le fonctionnement. Les résultats sont sans équivoque : 12 objets sur 16 ont pu être « infiltrés » et détournés à divers usages.

Nous vous proposons quelques exemples de failles ou de détournements obtenus par les chercheurs en cybersécurité de BGU :
1) recrutement de l’objet comme « zombie » : un des objets connectés a pu être utilisé comme « ordinateur zombie » (« botnet » en anglais) pour participer au lancement d’attaques contre un site web, lors desquelles un grand nombre d’ordinateurs et d’objets connectés sont piratés puis utilisés pour se connecter au serveur du site et ainsi, de par leur nombre, le faire « crasher » ;
2) « un pour tous » : le mot de passe « par défaut » en sortie d’usine de certains des objets est le même pour tous les modèles identiques d’un même fabricant. Ainsi, en récupérant le mot de passe d’un seul objet, un cybercriminel peut ensuite pirater tous les objets du même modèle ;
3) « chut, bébé dort » : le moniteur pour bébé a pu être infiltré à distance via sa connexion internet, permettant non seulement de pouvoir prendre le contrôle de l’objet (en parlant ou en jouant un son ou une musique pour l’occurrence à un volume choisi), mais aussi de récupérer au passage les identifiants wifi et donc l’accès à tout le réseau ;
4) sécurité périmée : parmi les failles de sécurité, les chercheurs ont trouvé que le système d’information de certains objets n’étaient pas mis à jour et donc que certaines failles des versions précédentes pouvaient être exploitées ;
5) vulnérabilité physique : la présence d’une faille physique permet de se connecter directement au circuit imprimé de l’objet connecté et, de ce fait, d’obtenir les détails de sécurité de ce modèle, d’obtenir les identifiants wifi, de télécharger un logiciel malveillant sur l’objet ou d’en prendre le contrôle à distance par la suite.

Les chercheurs ont conclu leur étude avec des recommandations pour les fabricants ou les utilisateurs d’objets connectés. Ces objets sont en effet très vulnérables et, leur nombre explosant, ils seront de plus en plus souvent la cible d’attaques et de détournements dans les années à venir. Peut être devrions-nous y réfléchir à deux fois avant de nous doter ou d’offrir de tels objets ?

Sources :
• site web de http://in.bgu.ac.il/en/pages/news/offshelf_smart.aspx
• https://iss.oy.ne.ro/Pandora
• https://link.springer.com/chapter/10.1007%2F978-3-319-75208-2_1

Pour en savoir plus :
• https://iss.oy.ne.ro
• https://fr.wikipedia.org/wiki/Rétro-ingénierie
• https://fr.wikipedia.org/wiki/Internet_des_objets

Rédacteur : Arthur Robin, doctorant à l’Université de Tel Aviv