Appareils standard qui incluent des moniteurs pour bébé, caméras de sécurité à domicile, sonnettes, et les thermostats ont été facilement cooptés par les cyber-chercheurs de l'Université Ben Gourion du Néguev (BGU). Dans le cadre de leurs recherches en cours sur la détection des vulnérabilités des appareils et des réseaux se développant dans la maison intelligente et l'Internet des objets (IoT), les chercheurs ont démonté et rétro-conçu de nombreux appareils courants et ont rapidement découvert de graves problèmes de sécurité.

"C'est vraiment effrayant de voir avec quelle facilité un criminel, voyeur ou pédophile peut s'emparer de ces appareils, " dit le Dr Yossi Oren, maître de conférences au département d'ingénierie des logiciels et des systèmes d'information de BGU et responsable du laboratoire de sécurité de mise en œuvre et d'attaques secondaires à Cyber@BGU. « En utilisant ces appareils dans notre laboratoire, nous avons pu jouer de la musique forte via un babyphone, éteindre un thermostat et allumer une caméra à distance, au grand souci de nos chercheurs qui eux-mêmes utilisent ces produits."

"Il n'a fallu que 30 minutes pour trouver les mots de passe pour la plupart des appareils et certains d'entre eux n'ont été trouvés que grâce à une recherche Google de la marque, " dit Omer Shwartz, un doctorat étudiant et membre du laboratoire du Dr Oren. « Une fois que les pirates peuvent accéder à un appareil IoT, comme une caméra, ils peuvent créer tout un réseau de ces modèles de caméras contrôlés à distance."

Les chercheurs du BGU ont découvert plusieurs façons dont les pirates informatiques peuvent tirer parti d'appareils mal sécurisés. Ils ont découvert que des produits similaires sous différentes marques partagent les mêmes mots de passe par défaut communs. Les consommateurs et les entreprises modifient rarement les mots de passe des appareils lors de l'achat, de sorte qu'ils pourraient être infectés par un code malveillant pendant des années.

Ils ont également pu se connecter à des réseaux Wi-Fi entiers en récupérant simplement le mot de passe stocké dans un appareil pour accéder au réseau.

Le Dr Oren exhorte les fabricants à cesser d'utiliser des mots de passe codés en dur, pour désactiver les capacités d'accès à distance, et pour rendre plus difficile l'obtention d'informations à partir des ports partagés, comme une prise audio qui s'est avérée vulnérable dans d'autres études menées par des chercheurs de Cyber@BGU. « Il semble que la mise sur le marché de produits IoT à un prix attractif soit souvent plus important que de les sécuriser correctement, " il dit.

Conseils pour la sécurité des produits IoT

Dans le but de rendre les consommateurs plus intelligents sur la protection des appareils domestiques intelligents, Les chercheurs de BGU proposent un certain nombre de conseils pour conserver les appareils IoT, les familles et les entreprises plus en sécurité :

1. Achetez des appareils IoT uniquement auprès de fabricants et de fournisseurs réputés.

2. Évitez les appareils IoT usagés. Ils pourraient déjà avoir des logiciels malveillants installés.

3. Recherchez chaque périphérique en ligne pour déterminer s'il possède un mot de passe par défaut et, le cas échéant, modifiez-le avant l'installation.

4. Utilisez des mots de passe forts avec un minimum de 16 lettres. Ceux-ci sont difficiles à casser.

5. Plusieurs appareils ne doivent pas partager les mêmes mots de passe.

6. Mettez régulièrement à jour le logiciel que vous n'obtiendrez que de fabricants réputés.

7. Considérez attentivement les avantages et les risques de la connexion d'un appareil à Internet.

"L'augmentation de la popularité de la technologie IoT présente de nombreux avantages, mais cette vague de nouveauté, des appareils innovants et bon marché révèlent des défis complexes en matière de sécurité et de confidentialité, " dit Yael Mathov, qui a également participé à la recherche. "Nous espérons que nos découvertes responsabiliseront davantage les fabricants et contribueront à alerter à la fois les fabricants et les consommateurs des dangers inhérents à l'utilisation généralisée d'appareils IoT non sécurisés."