Comme les applications Samsung et Swann IoT ont été violées, quand allons-nous faire face à nos failles de sécurité ?
L'application de Swann Security s'est avérée vulnérable au piratage
Jeudi, des failles de sécurité ont été révélées dans le firmware de Samsung le hub SmartThings. Cisco Talos a publié un blog sur plusieurs vulnérabilités. En tant que Jeremy Cowan rapports, ce n'est pas la seule faille de sécurité IoT exposée récemment. Il n'est donc pas surprenant que les entreprises deviennent nerveuses quant à la sécurité de leurs futurs services IIoT.
Talos découvre la vulnérabilité de Samsung Smart Things
Cisco Talos a travaillé avec Samsung pour s'assurer que ces problèmes ont été résolus et qu'une mise à jour du micrologiciel est disponible pour les clients concernés.
Le hub est un contrôleur central qui permet aux utilisateurs équipés de smartphones de surveiller et de gérer divers appareils électroniques domestiques compatibles avec l'Internet des objets (IoT). Ceux-ci incluent :les ampoules électriques; systèmes de chauffage, ventilation et climatisation (CVC); serrures de porte, et ainsi de suite. Ces vulnérabilités pourraient permettre à un attaquant d'exécuter des commandes du système d'exploitation (OS) ou d'autres codes arbitraires sur les appareils concernés.
Le micrologiciel exécuté sur le SmartThings Hub est basé sur Linux et permet les communications avec les appareils IoT en utilisant une variété de technologies différentes telles que Ethernet, Zigbee, Z-Wave et Bluetooth.
La faille a été divulguée à Samsung qui dispose désormais d'un correctif, mais les vulnérabilités sont qualifiées par un porte-parole de Cisco Talos d'"assez graves".
Étant donné que ces appareils recueillent souvent des informations sensibles, les vulnérabilités découvertes pourraient permettre à un attaquant de surveiller et de contrôler les appareils à la maison ou au travail, ou d'effectuer des activités non autorisées. Par exemple :
- Les serrures intelligentes contrôlées par le hub SmartThings peuvent être déverrouillées, ce qui permet un accès physique à la maison.
- Les caméras déployées dans la maison pourraient être utilisées pour surveiller à distance les occupants.
- Les détecteurs de mouvement utilisés par le système d'alarme anti-intrusion peuvent être désactivés.
- Les prises intelligentes peuvent être contrôlées pour éteindre ou allumer les systèmes importants qui peuvent être connectés.
- Les thermostats pourraient être contrôlés par des attaquants non autorisés.
- Les attaquants pourraient également causer des dommages physiques aux appareils ou à d'autres appareils pouvant être connectés à des prises intelligentes déployées dans un bâtiment intelligent.
Les caméras de sécurité de la maison de Swann piratées
À la même heure la semaine dernière, la nouvelle était annoncée selon laquelle les caméras de sécurité de Swann pourraient facilement être détournées et leurs flux vidéo et audio accessibles. La marque populaire de caméras de sécurité sans fil, conçue pour protéger les entreprises et les maisons, était en fait vulnérable à un piratage d'espionnage.
La faille signifiait qu'il était possible d'accéder à la vidéo et à l'audio diffusés depuis les propriétés d'autres personnes en apportant une modification mineure à Swann Security l'application. Les chercheurs ont trouvé le problème après la BBC signalé un cas où un client avait reçu les enregistrements d'un autre.
En réponse aux nouvelles découvertes, Swann a déclaré à la BBC que le problème était limité à un seul modèle, la SWWHD-Intcam, également connue sous le nom de Swann Smart Security Camera.
Commentant cela, Adam Brown, responsable des solutions de sécurité chez Synopsys basé en Californie , une société de test de sécurité des applications, déclare à IoT Now :« J'ai personnellement de l'expérience avec les caméras Swann – j'en avais une, bien que différente de celle du rapport. J'ai découvert que le flux de la caméra lui-même était accessible directement depuis le réseau sur lequel se trouvait la caméra, et qu'il y avait un certain contrôle d'accès sur ce flux vidéo - un mot de passe codé en dur, si je me souviens bien - c'est une mauvaise pratique.
« Si cette caméra était placée directement sur Internet (pas derrière un pare-feu), les regards indiscrets pourraient potentiellement voir ce que ma caméra pouvait voir. Des contrôles de sécurité évidents et laxistes indiquent des défaillances systémiques. Sans spéculer sur les détails techniques de ce qui n'a pas fonctionné ici, je suppose que l'initiative de sécurité logicielle chez Swann fait défaut ou pourrait bénéficier d'une amélioration délibérée de la part de la direction. Le marché des caméras rattrape son retard en matière de cybersécurité. Les principaux fabricants chinois intègrent la confidentialité et la sécurité dans leurs caméras et leur infrastructure. La confidentialité et la sécurité vont être vitales pour l'industrie de la caméra, elle-même placée comme une solution de sécurité », ajoute Brown.
La sécurité est la préoccupation n°1 dans l'IIoT
Alors, faut-il s'étonner que la sécurité soit la principale préoccupation des entreprises qui envisagent leur avenir dans l'Internet des objets industriel (IIoT) ? Nous l'avons déjà demandé, mais quel genre de catastrophe humsn (et de gros titres préjudiciables) faudra-t-il avant que les OEM d'appareils commencent à prendre la sécurité au sérieux ?
D'après l'Enquête sur la sécurité de l'IoT industriel du SANS Institute 2018 Rapport , la sécurité est la plus grande préoccupation lorsqu'il s'agit de l'Internet des objets industriel.
Dean Ferrando, responsable ingénieur système chez Tripwire commente :« L'expansion des appareils et de la technologie connectés comporte des risques. Le développement et le déploiement d'un Internet industriel des objets placent la sécurité au sommet de cette évaluation des risques. Cela est en partie dû au fait que les fabricants d'IoT livrent des appareils avec peu ou pas de sécurité, il est donc essentiel que les développeurs de produits examinent en profondeur la technologie des appareils et garantissent que la sécurité est programmée au stade du logiciel pour éliminer les failles.
« Lorsque les appareils connectés peuvent apporter des changements importants au monde physique, la vie et la sécurité deviennent particulièrement pertinentes pour la cybersécurité. C'est pourquoi la sécurité au sein des infrastructures critiques doit être abordée au plus haut niveau. Heureusement, à mesure que de nouveaux appareils et problèmes surviennent, il existe une abondance de mécanismes de défense et de technologies parmi lesquels choisir », conclut Ferrando. « Si les organisations industrielles veulent éviter d'être touchées par une cyberattaque, la mise en œuvre d'une stratégie d'hygiène de la sécurité qui intègre la formation de la main-d'œuvre et l'investissement dans la bonne technologie doit être en place. »
L'auteur de cet article est
Jeremy Cowan (photo de gauche),
directeur éditorial d'IoT Now
et de VanillaPlus.
Technologie de l'Internet des objets
- Comment l'IoT traite les menaces de sécurité dans le pétrole et le gaz
- Rapport :La pénurie de puces et la périphérie/l'IoT entraîneront des changements informatiques en 2022
- La sécurité et la confidentialité freinent-elles l'IoT ?
- Cybersécurité et Internet des objets :sécurité IoT évolutive
- Quelles industries seront les gagnantes de la révolution IoT et pourquoi ?
- L'avenir est connecté et c'est à nous de le sécuriser
- Ce que vous devez savoir sur l'IoT et la cybersécurité
- L'importance de 6 milliards de dollars des normes de sécurité et de la réglementation à l'ère de l'IoT
- L'IoT et l'IA vont de l'avant dans la technologie