crédit photo © chanpipat - shutterstock
Fortify, la filiale sécurité de HP a publié un rapport alarmant sur la sécurité de l’Internet des objets. La société a testé 10 produits populaires liés à ce marché, comme des télévisions connectées, des webcams, des verrous de portes et de garages, des thermostats, des hubs pour connecter différents appareils, etc. HP n’a pas cité les marques, ni les noms de produits qu’elle a soumis à des tests de sécurité pour connaître leurs résistances et surtout pour découvrir des vulnérabilités.
Les experts de Fortify ont été gâtés avec une moyenne de 25 failles par objets connectés. Soit au total, pas moins de 250 vulnérabilités découvertes dans ces dispositifs. Les problèmes rencontrés ont un spectre assez large allant de la fameuse faille Heartbleed jusqu’au cross scripting, en passant par la faiblesse des mots de passe ainsi que face à des attaques en déni de services.
Les pourcentages sont éloquents : 70% des équipements ne cryptent pas leurs communications, pire 90% d’entre eux collectent au moins un élément de données personnelles à travers le cloud ou une application mobile. Ces données personnelles sont variées, allant des informations de santé, le nom, l’adresse, mais aussi des numéros de cartes bancaires. Et les chercheurs de se poser ouvertement la question, « est-ce que les objets connectés ont véritablement besoin des données personnelles pour fonctionner ? ».
Sur l’authentification entre les objets connectés et les services cloud ou les applications mobiles, HP constate avec effarement la simplicité des mots de passe, « 1234 » ou « 123456 ». En tout, 8 objets sur 10 ne disposent pas d’un mot de passe suffisamment fort. Les mises à jour ne sont pas chiffrées, ouvrant la porte à de possibles attaques.
Le rapport de HP recommande aux constructeurs d’objets connectés de se référer aux bonnes pratiques (une dizaine) de l’OWASP (Open Web Application Security Project). Reste qu’aujourd’hui, la plupart des acteurs IT essayent de se mettre d’accord sur des standards dans le domaine de l’Internet des objets. Plusieurs initiatives ont en effet vu le jour comme celle présentée par Dell, Samsung et Intel à travers l’Open Internet Consortium ou celle de la Fondation Linux AllSeen. Ces différentes solutions vont devoir se pencher fortement sur la sécurité des objets connectés. Gartner prévoit 28 milliards d’objets d’ici en 2020.
crédit photo © chanpipat – shutterstock
A lire aussi :
La gestion des fréquences mobiles à l’heure de l’Internet des objets
L’UPnP veut créer un pont avec l’Internet des objets et le cloud
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…