Devez-vous craindre les hackers ?
Des sonnettes connectées aux enceintes intelligentes, il y a de fortes chances que votre habitation soit équipée d'objets connectés. Ceux-ci offrent de nombreux avantages, mais il arrive que le fabricant n'accorde pas suffisamment d'attention à la sécurité de ces appareils : ils représentent pourtant des cibles faciles pour les hackers. Découvrez notre analyse de ces appareils sous l'angle de la cybersécurité.
De nombreux objets connectés sont vulnérables aux attaques de hackers
Nos recherches nous ont permis de découvrir de nombreuses vulnérabilités dans 17 objets connectés. Il s'agit d'appareils tels qu'une sonnette et une enceinte connectées, un thermostat intelligent ou un aspirateur robot.
Les appareils mal sécurisés peuvent représenter un risque non seulement pour votre réseau domestique et les dispositifs qui y sont connectés, mais aussi pour votre vie privée et même pour la sécurité de votre maison.
Nous avons examiné :
- 10 produits de marques bon marché et peu connues que nous avons achetés sur Amazon ou AliExpress.
- 7 produits de grandes marques réputées qui n'étaient plus pris en charge par le fabricant au moment de l'achat et qui ne recevaient pratiquement plus de mises à jour logicielles.
En quelques semaines, notre laboratoire a identifié un total de 61 vulnérabilités, dont huit à haut risque et quatre jugées critiques.
Le plus grand risque : l’absence de mise à jour des logiciels
Contrairement aux produits traditionnels, les objets connectés ont une durée de vie limitée : ils ne fonctionnent que tant que le logiciel est pris en charge par le fabriquant. Malheureusement, il arrive souvent qu'une marque cesse de mettre à jour les technologies qui alimentent un produit quelques années seulement après son lancement.
Si les appareils connectés de marques bon marché ont tendance à présenter des vulnérabilités de plus en plus graves, notre étude montre que les produits populaires de marques connues peuvent également présenter un risque de sécurité, surtout s'ils ne reçoivent plus de mises à jour logicielles.
Il est frappant de constater que certains de ces appareils de grandes marques sont toujours disponibles dans les boutiques (en ligne) les plus populaires. En outre, il est tout à fait plausible que bon nombre de ces objets connectés populaires, dont la plupart ont été vendus en grand nombre, soient encore présents dans de nombreux ménages.
Comment un hacker peut-il pirater vos objets connectés ?
Un wifi vulnérable
Tous les appareils qui se connectent au réseau domestique d'un utilisateur via le wifi sont susceptibles de faire l'objet d'une attaque sur le réseau lui-même (par exemple, une attaque de désauthentification). Il ne s'agit donc pas tant d'une vulnérabilité des appareils eux-mêmes que du réseau wifi. Avec les bons outils, un hacker peut envoyer un signal spécifique à un appareil wifi qui le déconnecte temporairement et l'empêche donc de fonctionner.
Pour certains appareils (imprimantes wifi, aspirateurs robots, prises connectées, etc.), l'impact est limité et plus susceptible d'être gênant que dangereux. Pour d'autres (en particulier les appareils de sécurité tels que les caméras de surveillance, les sonnettes connectées et les serrures de porte intelligentes), le risque est plus élevé car un pirate informatique pourrait utiliser une telle attaque pour contourner la sécurité (par exemple en bloquant les notifications de détection de mouvement).
La recherche de nom d'utilisateur
De nombreux appareils (8 sur 17) permettent également « l'énumération des noms d'utilisateur », en particulier ceux de marques inconnues et bon marché (7 sur 10). La gravité de cette vulnérabilité est faible en soi, mais elle permet à un hacker d'établir l'existence d'un utilisateur et d'obtenir ainsi des informations vitales pour mener d'autres attaques.
Avec ces éléments, un attaquant peut lancer des attaques de phishing, essayer de se connecter à un compte en craquant le mot de passe ou tenter d'utiliser des mots de passe en ligne connus et fuités liés à l'adresse e-mail de l'utilisateur (si l'utilisateur utilise le même mot de passe sur plusieurs services).
L‘accès à distance aux objets connectés
Aucun des appareils et applications testés ne présentait de vulnérabilité susceptible d'être exploitée directement à distance (par exemple via internet). Cela ne signifie toutefois pas que cela ne serait pas possible avec l’un ou l’autre des appareils et applications testés. Avec plus de temps et d'efforts, nous pourrions encore découvrir de tels problèmes.
Notons quand même que, pour certains objets connectés, le laboratoire a montré qu'il était possible d'accéder à distance après avoir obtenu un accès physique à l'appareil ou après s'être trouvé à proximité (par exemple, à portée de wifi). Bien que le risque d'accès à distance soit moindre dans ce cas, les fabricants ne devraient pas pour autant laisser cette possibilité ouverte.
Que faire pour vous protéger des hackers ?
Pour une maison connectée mais sécurisée
Comment les fabricants réagissent-ils à nos observations ?
Après avoir effectué nos recherches, nous avons voulu informer les fabricants de nos conclusions afin qu'ils puissent résoudre les problèmes que nous avons soulevés. Pour quatre d’entre eux, nous n'avons même pas trouvé d'informations de contact. Quatre autres n'ont jamais répondu à nos messages. Et deux fabricants n'ont pas été contactés parce que nous avons considéré le risque comme limité.
Pour les autres fabricants, la réponse a été variable, mais pour aucun des dispositifs présentant des vulnérabilités modérées à graves et critiques nous pouvons affirmer avec certitude que le fabricant s'est engagé à résoudre les problèmes au mieux de ses capacités. Meross a promis de fournir un meilleur cryptage, mais n'a pas précisé quand il serait fourni (« dans un avenir proche »). Mercusys a fait les propositions d'amélioration les plus concrètes, mais toutes ne se sont pas révélées être des solutions optimales aux problèmes identifiés.
Les fabricants d’objet connectés doivent prendre la sécurité au sérieux
Le manque de feedback de la part des entreprises montre une fois de plus que de nombreux fabricants ont encore un long chemin à parcourir, à la fois pour une conception plus sûre et pour le suivi de leurs appareils une fois qu'ils sont sur le marché.
Il est également essentiel que les fabricants apportent un soutien technique à leurs objets connectés le plus longtemps possible, tout en le communiquant clairement aux consommateurs. Lorsque vous achetez un tel produit, vous êtes trop souvent laissés dans l'ignorance.
Les plateformes de vente en ligne devraient aussi assumer leurs responsabilités
Les marketplaces - où sont vendus bon nombre de ces produits connectés (peu sûrs) - devraient également assumer une plus grande part de responsabilité. Il n'est pas rare que des marques apparaissent et disparaissent sur ces plateformes de e-commerce, et il arrive que le même produit, avec des caractéristiques et spécifications identiques, soit vendu sous un nom différent.
C'est pourquoi nous préconisons que les marketplaces et les boutiques (en ligne) soient également tenues responsables des problèmes de sécurité des produits qu'elles vendent. En fait, la législation devrait s'appliquer à tous les endroits où les consommateurs peuvent acheter des objets connectés.
Dans la suite de notre dossier, nous vous révélons les objets connectés qui souffrent de problèmes de sécurité et sont donc vulnérables aux attaques potentielles de hackers.
Découvrez les objets connectés les plus vulnérables
Des vulnérabilités critiques ont été identifiées dans deux appareils.
Wansview W9 : 12 vulnérabilités
Les problèmes les plus inquiétants ont été découverts dans une caméra de surveillance extérieure sans fil de Wansview, un appareil bon marché (60 euros) proposé à la vente sur Amazon. Pas moins de 12 vulnérabilités ont été découvertes, dont 3 ont été jugées critiques.
Le problème le plus préoccupant est qu'un hacker ayant un accès physique à la carte SD de la caméra (ou pouvant en insérer une nouvelle) peut facilement prendre le contrôle total de l'appareil, non seulement localement, mais aussi ultérieurement à distance. Comment cela est-il possible ? Le pirate pourrait acheter cette caméra, y installer un logiciel malveillant, puis la renvoyer au magasin ou l'offrir en cadeau.
Quel est le danger ? Le micrologiciel pourrait être modifié pour ajouter un code malveillant, voler des informations sécurisées ou intercepter des séquences vidéo.
Kavsumi IWO Ultra 3 : les informations sensibles sont vulnérables
La sécurité de cette montre connectée bon marché (40 euros) achetée sur AliExpress s'est également révélée problématique. L'application qui l'accompagne est vulnérable à une attaque de type « homme du milieu » (man-in-the-middle).
Si un hacker se trouve sur le même réseau que le smartphone sur lequel l'application est installée, il peut facilement intercepter la communication entre l'application et les serveurs, ce qui permet de voler des informations sensibles telles que l'adresse mail et le mot de passe de l'utilisateur.
Produits connectés présentant au moins une vulnérabilité
Quatre autres objets connectés de marques inconnues présentent au moins une vulnérabilité grave.
- Mercusys MR70X : Ce routeur sans fil acheté sur Amazon (45 euros) est livré avec un mot de passe wifi préconfiguré considéré comme faible. Ce mot de passe ne comporte que 8 chiffres, ce qui signifie qu'il peut être craqué en quelques secondes.
- Rehentronix : Cette sonnette connectée (31 euros, AliExpress) et son application communiquent de nombreuses données en clair (non-chiffrée) sur l'internet, ce qui les rend faciles à intercepter.
- Serrure de porte intelligente sans marque : Cette serrure de porte sans marque (105 euros, AliExpress) permet aux utilisateurs d’ouvrir leur porte à l’aide de badges qui peuvent être facilement clonés.
- Veidoo V88 : Cette tablette pour enfants (55 euros, Amazon) est sensible à une vulnérabilité Android découverte en 2020 (Strandhogg). Celle-ci permet à une fausse application d'afficher une fausse page de connexion sur une autre application. Ils peuvent ainsi voler des informations confidentielles.
Nous avons encore identifié des vulnérabilités de « gravité moyenne » dans un certain nombre d'autres objets connectés bon marché. Il s'agit principalement de problèmes potentiels dus à l'absence de cryptage, à un niveau faible d’authentification ou à des paramètres par défaut insuffisants. Le risque final est modéré, mais il s'agit là de signes d'une programmation bâclée qui peut et doit être évitée.
Même les objets connectés les plus populaires peuvent présenter un risque pour la sécurité
Les marques bon marché ne sont pas les seules à présenter un risque de sécurité. Certains objets connectés commercialisés par de grandes entreprises bien connues du secteur des technologies présentent aussi des failles. C'est d'autant plus inquiétant que les produits que nous avons testés ne sont plus pris en charge et ne reçoivent pratiquement plus de mises à jour logicielles.
- Samsung Galaxy Note 9 : La même vulnérabilité que dans la tablette Android pour enfants (Strandhogg) a également été détectée dans ce smartphone de Samsung (499 euros). Le problème a été corrigé dans Android 11 ou les versions ultérieures, mais il existe toujours dans les versions plus anciennes (jusqu'à la version 10).
- Xiaomi Mi Robot Vacuum-Mop 1C : Cet aspirateur robot (265 euros) possède une connexion physique ("UART") facilement accessible, ce qui permet à un hacker de prendre le contrôle total du robot aspirateur.
- Asus RT-AC85P : Ce routeur sans fil (75 euros) présente plusieurs vulnérabilités. Le micrologiciel contient des versions obsolètes de logiciels présentant des vulnérabilités connues. Par exemple, le routeur utilise une interface web locale non cryptée, ce qui permet à un cybercriminel se trouvant sur le même réseau de voler les identifiants de connexion. En outre, le routeur a activé le protocole UPnP par défaut. L'UPnP peut présenter un risque dans certaines circonstances car il ouvre la porte à des appareils sur le réseau (par exemple, un hacker pourrait visualiser à distance le flux vidéo d'une caméra de sécurité).
- TP-Link HS100 : Cette prise intelligente est commercialisée depuis plusieurs années (35 euros). N'importe qui sur le réseau local peut envoyer des commandes à la prise (par exemple pour l'allumer ou l'éteindre). Et lors de l'installation, les données sensibles (nom d'utilisateur et mot de passe du réseau wifi, adresse électronique et mot de passe du compte TP-Link) peuvent être facilement interceptées.
- Amazon Echo Dot : Il s'agit d'une enceinte intelligente populaire dotée de l'assistant vocal Alexa. Nous avons testé la deuxième génération (35 euros), qui est toujours sujette à l'attaque "Alexa vs Alexa" : toute personne se trouvant à proximité peut envoyer à l'enceinte des fichiers sonores contenant des commandes qui sont ensuite exécutées par l'enceinte. Il peut être utilisé pour contrôler d'autres appareils connectés sur le réseau domestique, par exemple pour déverrouiller des portes ou effectuer des achats non autorisés.
- Arlo VMS3130 : Cette caméra de sécurité sans fil (175 euros) offre généralement une bonne sécurité. Toutefois, en cas d'attaque de désauthentification wifi, l'application n'alerte pas l'utilisateur lorsque la caméra se déconnecte, et il n'y a pas de notifications ou d'enregistrements des événements.