La période de noël est une période propice aux hacks en entreprise, avec les congés de fin d'années, il y a en effet moins d'effectif, et donc moins de réactivité. Mais il serait simpliste de ne voir que cet aspect.

L'enfer a un emballage cadeau

Ces dernières années, la mode est aux objets connectés en tout genre: enceintes, montres, balances, aspirateurs, et l'objet à la mode cette année, les caméras connectées. Tous ces gadgets peuvent être très utiles et avoir des fonctionnalités très sympathiques, il n'empêche qu'ils sont aussi l’accès rêvé à votre domicile pour un pirate. Malheureusement, ces périphériques sont très souvent "léger" en terme de sécurité embarquée. On pourrait penser que ce n'est pas trop gênant, mais depuis un périphérique compromis, il peut éventuellement être possible d'infecter tout un réseau pour extraire des données par exemple.

Il y a d'ailleurs eu un cas de ce type avec une caméra "Ring" commercialisée par Amazon (plus d'infos ici [EN]) il y a quelques jours. Le hacker, une fois la caméra compromise a pu observer la chambre des enfants et entrer en contact avec. Un cas isolé ? J'aimerais dire que c'est le cas, mais non. Je ne compte plus le nombre d'articles que j'ai lu où l'on parle de ces périphériques compromis...

Les points d'attention

Le but de cet article n'est évidemment pas de faire peur à tout le monde, mais de rappeler quelques règles simples de sécurité.

  • Considérez votre périphérique connecté comme un ordinateur, cela signifie de procéder aux mises à jour du constructeur lorsque c'est possible par exemple, et notamment les mises à jour de sécurité.
  • Si votre périphérique possède un login/mot de passe, ne laissez pas celui par défaut, modifiez le pour un mot de passe complexe (16 caractères minimum avec majuscules + minuscules + caractères spéciaux, vous pouvez utiliser un générateur de mots de passe et/ou un gestionnaire de mot de passe par exemple)
  • Concernant les mots de passe, adoptez autant que possible la politique un logiciel/site = un mot de passe. En cas de compromission, cela réduit d'autant plus l'impact
  • Ne connectez votre périphérique a internet que si cela est indispensable. Si un logiciel n'a pas besoin d'internet, ne prenez pas le risque de l'exposer ou de lui permettre d'accéder au monde entier inutilement.
  • Evitez les marques obscures, et notamment les chinoiseries low cost, qui en plus de ne pas vous garantir une sécurité convenable ont de fortes chance de faire transiter vos données en Chine, pays connu pour son respect de la vie privée.

L'utilisateur, le garant de sa propre sécurité

Comme toujours, c'est l'utilisateur le dernier rempart de sa propre sécurité. Beaucoup de ces périphériques vont accéder à votre téléphone par exemple, avec leurs applications dédiées. A vous alors de choisir les autorisations que vous souhaitez activer ou non.

En guise d'exemple, j'ai moi même une enceinte connectée Alexa, bien qu'elle soit connectée à mon téléphone, étape indispensable à sa connexion, elle n'a pas accès à mes contacts, même si l'application le demandait. De plus une fois sa phase de configuration terminée, je lui ai supprimé l'appairage bluetooth. L'idée étant toujours la même, n'autoriser que ce qui est nécessaire à ce que je vais utiliser de l'objet. Ce n'est pas parce qu'une application a besoin d'accéder à vos contacts pour une fonctionnalité bien précise que vous devez la laisser faire, d'autant plus si vous n'avez pas besoin de cette fonction.

Comme toujours, en sécurité, c'est le jeu du chat et de la souris. Ce n'est pas parce qu'un objet est fiable aujourd'hui qu'il le sera demain. Une faille zero day (non exploitée jusque là) peut toujours être découverte, d'où l'importance de bien effectuer les mises à jour par exemple, et respecter les quelques règles que je vous ai indiqué plus haut.

Quoiqu'il en soit, bonne fête de fin d'années à tous, et profitez bien des nombreux gadgets que vous allez voir fleurir autour de vous, mais surtout profitez de ce moment pour passer du temps avec votre famille et vos amis.