Si vous êtes à la recherche d'un ouvre-porte de garage connecté à Internet, sonnette, thermostat, caméra de sécurité, système d'irrigation de la cour, mijoteuse - ou même une boîte d'ampoules connectées - un nouveau site Web peut vous aider à comprendre les problèmes de sécurité que ces nouveaux appareils brillants peuvent apporter dans votre maison.

Les appareils Internet des objets (IoT) grand public ne sont pas exactement connus pour leurs pratiques de sécurité strictes. Pour éviter aux acheteurs de le découvrir à la dure, des chercheurs du Georgia Institute of Technology et de l'Université de Caroline du Nord à Chapel Hill ont effectué des évaluations de sécurité d'appareils représentatifs, attribuer des notes allant de 28 (un F) à 100.

leur site, https://yourthings.info, affiche les classements pour 45 appareils, bien qu'un total de 74 aient été évalués. Ce n'est pas un résumé complet des dizaines de milliers de types d'appareils disponibles, mais la grande idée derrière le projet est d'aider les consommateurs à comprendre les problèmes importants avant de connecter un nouvel assistant IoT à leurs réseaux domestiques.

"Beaucoup de gens qui achètent ces appareils ne comprennent pas pleinement les risques associés à leur installation dans leur maison, ", a déclaré Omar Alrawi, assistant de recherche diplômé de Georgia Tech. "Nous voulons fournir des informations en fournissant des évaluations de sécurité pour les appareils que nous avons testés."

Les assistants numériques personnels à commande vocale font partie des appareils IoT domestiques les plus courants, mais s'il n'est pas correctement installé, ils peuvent fournir un accès indésirable aux réseaux domestiques auxquels ils sont connectés, a prévenu Manos Antonakakis, chercheur en cybersécurité et professeur agrégé à la Georgia Tech's School of Electrical and Computer Engineering.

« Si vous avez une application IoT vulnérable, quiconque a accès à cette application a non seulement accès à vos informations personnelles, mais pourrait aussi sauter dans votre maison et écouter vos conversations, " a-t-il dit. " Tout ce qui est connecté dans la maison à proximité de l'assistant personnel pourrait également interagir avec lui. Si un logiciel vulnérable est exécuté sur l'appareil, il pourrait être exploité au sein du réseau domestique."

Un problème est que la plupart des réseaux domestiques ont été configurés pour des tâches simples comme le partage d'imprimantes, ils n'ont donc pas le type de contrôles de sécurité que l'on trouve sur les systèmes d'entreprise dans les entreprises, a noté Chaz Lever, ingénieur de recherche à l'École de génie électrique et informatique de Georgia Tech.

"Le réseau domestique commence à ressembler beaucoup à des réseaux d'entreprise avec une gamme de services qui doivent être protégés, " Lever a déclaré. "Mais le consommateur moyen ne sera pas équipé pour le faire. Ils n'ont pas de personnel informatique qui effectue des audits et sécurise les appareils. Si ces appareils ne sont pas sécurisés prêts à l'emploi et qu'il n'existe pas de moyens simples de les sécuriser, ils peuvent ouvrir la maison à un nouveau vecteur d'attaques."

Pour donner des conseils utiles aux consommateurs, les chercheurs ont développé un cadre pour analyser les composants de sécurité des appareils. Dans ce qui est considéré comme le premier effort pour évaluer objectivement les risques des équipements IoT, ils ont examiné les appareils eux-mêmes, comment les appareils communiquent avec les serveurs cloud, les applications s'exécutant sur les appareils, et les points de terminaison basés sur le cloud.

"Plus il y a de services en cours d'exécution sur l'appareil, plus la probabilité que certains d'entre eux soient vulnérables aux attaques est élevée, " a déclaré Antonakakis. " Fournir de nombreux services peut être attrayant d'un point de vue marketing, mais si vous avez plusieurs services, le risque augmente."

Dans leur étude des appareils IoT, les chercheurs ont trouvé de grandes variations de sécurité selon le fabricant. Dans certains cas, les équipements fabriqués par de petites entreprises moins connues fonctionnaient mieux que les appareils fabriqués par de plus grandes entreprises.

"Il y a des appareils qui font très bien la sécurité, et les autres fabricants devraient tirer des leçons de ces appareils exemplaires, " a déclaré Alrawi. "Nous avons vu tout le spectre du bien et du mal, et parfois nous avons été surpris des résultats de notre évaluation."

Parce qu'ils sont conçus pour être installés par les consommateurs, ces appareils IoT doivent être faciles à utiliser. Cependant, parfois la facilité d'utilisation est l'ennemi de la sécurité. Un exemple est un service appelé UPnP, qui fait connaître les appareils au réseau lors de l'installation afin que les communications puissent être établies.

Mais un appareil s'annonçant sur le réseau peut attirer des attaquants, Levier noté. "Il est utile que les appareils communiquent ce qu'ils font, mais cela ouvre des vulnérabilités. Le choix des protocoles affecte non seulement l'appareil, mais aussi la sécurité du réseau sur lequel il tourne."

Il est peu probable que les ampoules connectées à Internet aient une longue durée de vie, mais ce n'est pas le cas avec les appareils coûteux comme les réfrigérateurs connectés à Internet. Antonakakis craint que ces appareils ne deviennent des risques de sécurité sans mises à jour régulières.

"Idéalement, le consommateur ne devrait pas avoir à savoir que son réfrigérateur a besoin de mises à jour qui doivent être téléchargées sur l'appareil, " at-il dit. "Nous voulons que cela se produise automatiquement et en toute sécurité. Pourquoi quelqu'un devrait-il savoir comment réparer son réfrigérateur ? »

Bien que l'idée de pirater une mijoteuse puisse sembler amusante, les appareils ont des éléments chauffants qui pourraient provoquer un incendie si un acteur malveillant augmentait la température. Les attaques peuvent également affecter plus qu'un propriétaire. En 2016, le botnet Mirai a profité de caméras connectées à Internet non sécurisées, dont beaucoup sont des moniteurs pour bébé, pour créer une attaque massive par déni de service distribué qui a laissé une grande partie d'Internet indisponible.

Au-delà de l'éducation des consommateurs, les chercheurs espèrent encourager une meilleure sécurité par les fabricants d'appareils en suivant les tendances de la sécurité au fil du temps.

"Nous espérons inspirer les prochaines étapes techniques et politiques, " a déclaré Antonakakis. " Il est nécessaire d'établir une politique et des normes. Nous voulons augmenter le niveau de sécurité de tous ces appareils. Il y a beaucoup plus à faire."