Sécurité de la maison intelligente : sécurité et vulnérabilités

Vous trouverez ici le résumé d'un article d'une série en cinq parties sur les technologies qui favorisent l'IoT. L'article peut être consulté dans son intégralité sur wevolver.com.

Vulnérabilité des maisons intelligentes

Le nombre de maisons intelligentes dans le monde devrait atteindre 478,2 millions d'ici l'an prochain (1). L'un des plus grands attraits de la technologie de maison intelligente est l'utilisation de dispositifs connectés à Internet pour sécuriser les logements personnels à distance. Malgré la facilité offerte par les dispositifs de sécurité de la maison intelligente pour protéger les maisons contre le vol, les dommages ou les accidents, les dispositifs de maison intelligente créent également le risque de réduire la sécurité des données personnelles.

Un projet de recherche de 2021 a révélé que les maisons intelligentes typiques sont vulnérables à un grand nombre d'attaques visant les données. (2) Les cas signalés d'attaques de maisons intelligentes incluent des pirates informatiques capables de contrôler à distance des lumières des téléviseurs intelligents (3), de déverrouiller des portes compatibles IoT et de démarrer à distance des caméras intelligentes et diffuser des vidéos. (4) Dans un cas, des habitants de Milwaukee n'ont réalisé que leur maison avait été attaquée que lorsqu'ils se sont réveillés après que leur thermostat a été programmé à plus de 30 degrés Celsius (5).

Deux failles majeures dans les maisons connectées les rendent exposées à ces attaques : les réseaux locaux et les dispositifs IoT vulnérables.

Réseaux locaux vulnérables

Le Wi-Fi peut être vulnérable aux attaques en raison de SSID ou de mots de passe par défaut ou faibles et de protocoles de cryptage vulnérables. Les informations d'identification par défaut permettent à l'intrus d'accéder au routeur sans effort. Les mots de passe Wi-Fi forts obligent les pirates à chercher des passerelles plus difficiles pour infiltrer le réseau.

Le reniflage et le piratage du cryptage sont les moyens les plus courants par lesquels les pirates s'infiltrent dans le réseau. Avec le reniflage, les pirates détournent les paquets de données transmis entre un dispositif et un routeur, les transfèrent sur leur propre dispositif et utilisent la force brute pour les déchiffrer. Cela ne prend généralement que quelques minutes.

La plupart des routeurs Wi-Fi utilisent le protocole de sécurité WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) ou WPA2. WEP est un chiffrement en flux RC4. La faiblesse du WEP est la petite taille du vecteur d'initialisation (VI de 24 bits), ce qui provoque sa réutilisation. Cette répétition le rend vulnérable.

Les options plus sécurisées sont WPA et WPA2, mais les chercheurs ont identifié une faille importante : KRACK, abréviation de Key Reinstallation Attack (attaque par réinstallation de la clé) dans le WPA. Une attaque de l'intercepteur peut l'exploiter pour voler des données sensibles envoyées via la connexion Wi-Fi cryptée WPA. Le pirate peut écouter le trafic de manière indiscrète et obtenir des mots de passe, des coordonnées bancaires et des informations de carte de crédit.

Dispositifs IoT vulnérables

Les chercheurs ont testé un total de 16 dispositifs de maison intelligente fréquemment utilisés de diverses marques et ont trouvé 54 vulnérabilités exposant les utilisateurs aux attaques de pirates. Le potentiel des attaques va de la désactivation des systèmes de sécurité au vol de données personnelles. (6) On estime que 80 % des dispositifs IoT sont vulnérables à un large éventail d'attaques. (7)

Les dispositifs de maison intelligente sont vulnérables aux attaques, car il s'agit de dispositifs à usage spécial. Les fournisseurs de solutions IoT ne parviennent pas à fournir les solutions de sécurité spéciales requises. De plus, les dispositifs de maison intelligente exécutent souvent de petits systèmes d'exploitation comme INTEGRITY, Contiki, FreeRTOS et VxWorks, dont les solutions de sécurité ne sont pas aussi robustes que celles des systèmes basés sur Windows ou Linux. Une fois déployés, les dispositifs les plus courants ne peuvent pas être mis à niveau pour actualiser les fonctionnalités de sécurité contre les cyberattaques en pleine évolution.

Attaques courantes contre les dispositifs de maison intelligente

Les attaques visant les dispositifs de maison intelligente sont commises selon différentes méthodes en fonction du dispositif et du protocole de communication. Les méthodes d'attaque courantes incluent les suivantes :

• Violation de données et vol d'identité

• Détournement et usurpation de dispositif

• Déni de service distribué (DDoS)

• Phlashing

Sécurisation des dispositifs de maison intelligente après l'achat

Bien que certains dispositifs aient des propriétés de sécurité embarquées, pour que les dispositifs de maison intelligente soient résistants aux attaques, leurs propriétaires doivent respecter certaines mesures de protection de base.

• Mots de passe forts

• Réseaux invités

• Authentification à deux facteurs

• Mise à jour du micrologiciel

• Utilisation d'un stockage local plutôt que cloud

• Niveau de cryptage le plus élevé qui soit

• Pare-feu

Rôle des développeurs de dispositifs IoT

La responsabilité de la sécurité des dispositifs IoT incombe principalement aux développeurs de ces dispositifs. Ils doivent prendre les mesures nécessaires pour que les dispositifs soient sûrs. Voici quelques mesures possibles :

• Intégration de la racine de confiance matérielle (HRoT) programmable dans les dispositifs IoT. La HRoT est la base pour les opérations sécurisées des dispositifs électroniques, en particulier les systèmes sur puce (SoC). Elle contient les clés utilisées pour les fonctions cryptographiques et permet un processus de démarrage sécurisé. La HRoT programmable peut être mise à jour en continu pour lutter contre une gamme toujours croissante de menaces. Elle exécute des algorithmes cryptographiques entièrement nouveaux et sécurise les applications pour répondre à l'évolution des attaques.

• Intégration de l'edge computing : permet de traiter les données collectées par les dispositifs à proximité des sources de données. Les données ne transitent pas par des réseaux vulnérables vers des serveurs distants, et le risque de violation est ainsi réduit.

• Conception de capacités de mise à jour sans fil : fabrication des dispositifs avec des capacités de mise à jour sans fil efficaces. De nombreux consommateurs ont leurs dispositifs dans des endroits éloignés et ne les mettent donc pas à jour régulièrement. Les développeurs doivent intégrer une stratégie de mise à jour sans fil robuste qui peut s'exécuter efficacement et régulièrement.

Conclusion

Les dispositifs connectés à Internet sont intrinsèquement vulnérables aux attaques. Tandis que les dispositifs de maison intelligente gagnent en fonctionnalités et sont de plus en plus installés dans les maisons, il est essentiel de comprendre les risques pour la sécurité des données personnelles et la façon de les limiter. Les ingénieurs IoT doivent également s'assurer que les maisons intelligentes du futur présentent une sécurité intégrée en tant que fonctionnalité de base et non en tant que module complémentaire.

L'article peut être consulté dans son intégralité sur wevolver.com.

Références

1. [En ligne]. Disponible sur : https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world.

2. Laughlin A. which.co.uk. [En ligne]. ; 2021. Disponible sur : https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/.

3. Whitney L. pcmag.com. [En ligne]. ; 2020. Disponible sur : https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you.

4. Vigdor N. New York Times. [En ligne]. ; 2019. Disponible sur : https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html.

5. Sears A. FOX6 NEWS. [En ligne]. ; 2019. Disponible sur : https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes.

6. Broom D. weforum.org. [En ligne]. ; 2021. Disponible sur : https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/.

7. Press R. rambus.com. [En ligne]. ; 2020. Disponible sur : https://www.rambus.com/iot/smart-home/.