Publié le 27/01/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 27 janvier 2022 - Les montres intelligentes, trackers de fitness et autres wearables sont devenus presque aussi familiers que nos téléphones et nos tablettes. Ces gadgets connectés font bien plus que donner l'heure. Ils suivent notre santé, affichent nos mails, contrôlent nos maisons intelligentes et peuvent même être utilisés pour payer dans les magasins. Cette extension de l'Internet des objets (IoT) rend nos vies plus saines, plus pratiques et réduit le temps d'écran des smartphones qui, cette année, atteint près de six heures pour la moitié des américains.
Au cours des prochaines années, ce marché devrait croître de 12,5 % par an et dépasser les US $ 118 milliards en 2028. Les appareils portables touchent toujours plus notre vie quotidienne, collectent aussi plus de données et se connectent à de plus en plus d'autres systèmes intelligents. Il faut donc en comprendre les risques potentiels pour la sécurité et la confidentialité.
Les principales préoccupations en sécurité et confidentialité
Les pirates monétisent de différentes façons les attaques contre les wearables intelligents et l'écosystème connexe d'applis et de logiciels. Ils peuvent intercepter et manipuler données et mots de passe et déverrouiller les appareils perdus ou volés, sans parler des problèmes de confidentialité potentiels concernant le partage de données personnelles avec des tiers. En voici des exemples:
Voler et manipuler des données
Les montres connectées avec nombres de fonctionnalités offrent un accès synchronisé aux applis du smartphone, telles que mail et messagerie. Ainsi les utilisateurs non autorisés peuvent intercepter des données personnelles sensibles. Mais savoir où une grande partie de ces données finit par être stockée est aussi préoccupant. Pour certains types de données – personnelles et financières, il existe un marché underground florissant.
Menaces basées sur la localisation
La localisation est un autre type de données clé enregistré par nombre d’appareils portables Avec ces informations, les pirates peuvent établir un profil précis des mouvements du porteur tout au long de la journée. Cela peut leur permettre de l'attaquer physiquement, ou sa voiture/maison parfois jugée vide. La sécurité des enfants utilisant ces appareils est encore plus préoccupante s'ils sont suivis par des tiers non autorisés.
Sociétés tierces
Il n’y a pas que les risques sécuritaires auxquels les utilisateurs doivent être attentifs. Les données collectées par ces appareils peuvent être très précieuses pour les annonceurs. Sur certains marchés, il y a un intérêt immense pour ces données qui, dans l'UE, devraient être strictement réglementé par la législation de 2018. Un rapport démontre que les données vendues par les fabricants d'appareils de santé aux compagnies d'assurance génèreraient US$ 855 millions d'ici 2023. Certains tiers les utiliseraient pour créer et revendre des profils publicitaires concernant les porteurs. Si ces données sont stockées, en aval, par d’autres sociétés cela présente un risque de violation plus important.
Déverrouiller la maison intelligente
Certains appareils peuvent être utilisés pour contrôler les appareils domestiques intelligents. Ils peuvent même être mis en place pour déverrouiller votre porte d'entrée. C’est un risque de sécurité majeur en cas de perte ou de vol des appareils et si les paramètres antivol ne sont pas activés.
Où les écosystèmes d'appareils sont-ils insuffisants ?
L'appareil que vous portez n'est qu'une partie de l'ensemble. Il existe en fait plusieurs éléments, du micro logiciel de l'appareil aux protocoles qu'il utilise pour la connectivité, son application et ses serveurs cloud back-end. Tous peuvent être attaqués si sécurité et confidentialité n'ont pas été correctement prises en compte par le fabricant. En voici quelques-uns:
Bluetooth: Bluetooth Low Energy est généralement utilisé pour connecter des appareils portables à un smartphone. Mais au cours des années, beaucoup de vulnérabilités dans le protocole ont été découvertes. Elles permettent à des attaquants proches d'appareils en panne, d'espionner ou de manipuler des données.
Appareils: Souvent, le logiciel de l'appareil est vulnérable aux attaques externes suite à une mauvaise programmation. Même la montre la mieux conçue a été construite par des humains et peut donc contenir des erreurs de codage pouvant également entraîner pertes de données, fuites de confidentialité, etc.
Une authentification/chiffrement faible sur les appareils peut signifier qu'ils sont exposés au piratage et à l'écoute clandestine. Les utilisateurs doivent aussi être conscients des ‘espions dans leur dos’ s'ils consultent, en public, des messages/données sensibles sur leurs appareils portables.
Applis: Les applis pour smartphone liées aux wearables sont une autre voie d'attaque. De plus, elles peuvent être mal écrites et criblées de vulnérabilités, exposant l'accès aux données et aux appareils des utilisateurs. Autre risque: les applis ou les utilisateurs eux-mêmes peuvent être négligents avec les données. Ils peuvent télécharger accidentellement des applis d'imposteurs conçues pour ressembler aux applis légitimes et y saisir des informations personnelles.
Serveurs principaux: Les systèmes basés cloud des fournisseurs peuvent stocker des informations sur l'appareil, y compris des données de localisation et autres. C’est une cible attrayante pour les attaquants recherchant l'argent facile. On ne peut pas y faire grand-chose, sinon choisir un fournisseur réputé avec de bonnes références sécuritaires.
Les scénarios ci-dessus ne sont pas que théoriques. Il y a plusieurs années, des chercheurs en sécurité ont découvert des vulnérabilités généralisées dans les montres intelligentes pour enfants, exposant localisation et données personnelles. Auparavant, une enquête avait révélé que de nombreux fabricants envoyaient, à des serveurs en Chine, des données non cryptées d'enfants utilisant les produits.
Pour verrouiller vos appareils
Il y a plusieurs choses à faire pour minimiser les risques. Les voici:
• Activer l'authentification à deux facteurs
• Mot de passe protégeant les écrans de verrouillage
• Modification des paramètres pour empêcher les connexions non autorisées.
Protéger le smartphone en :
• Ne visitant que des app stores légitimes
• Tenir à jour tous les logiciels
• Ne jamais jailbreaker/enraciner des appareils
• Limiter les autorisations des applis
• Installation d'un logiciel AV réputé sur l'appareil
Protéger la maison intelligente en :
• Ne pas synchroniser les appareils portables et la porte d'entrée
• Garder les appareils sur le réseau Wi-Fi invité
• Mettre à jour de tous les appareils avec le dernier micro logiciel
• S'assurer que les mots de passe de l'appareil soient modifiés par rapport aux paramètres d'usine par défaut
En général:
• Choisir des fournisseurs de wearables réputés
• Vérifier les paramètres de confidentialité et de sécurité pour s'assurer qu'ils sont correctement configurés
Alors que les wearables prennent une place toujours plus grande dans nos vies, ils deviennent une cible plus importante pour les attaquants. Faites vos recherches avant d'acheter et fermez autant de voies d'attaque que possible une fois que vous aurez démarré l'appareil.
LISEZ ENCORE CECI: Sports data for ransom – it’s not all just fun and games anymore
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
Au cours des prochaines années, ce marché devrait croître de 12,5 % par an et dépasser les US $ 118 milliards en 2028. Les appareils portables touchent toujours plus notre vie quotidienne, collectent aussi plus de données et se connectent à de plus en plus d'autres systèmes intelligents. Il faut donc en comprendre les risques potentiels pour la sécurité et la confidentialité.
Les principales préoccupations en sécurité et confidentialité
Les pirates monétisent de différentes façons les attaques contre les wearables intelligents et l'écosystème connexe d'applis et de logiciels. Ils peuvent intercepter et manipuler données et mots de passe et déverrouiller les appareils perdus ou volés, sans parler des problèmes de confidentialité potentiels concernant le partage de données personnelles avec des tiers. En voici des exemples:
Voler et manipuler des données
Les montres connectées avec nombres de fonctionnalités offrent un accès synchronisé aux applis du smartphone, telles que mail et messagerie. Ainsi les utilisateurs non autorisés peuvent intercepter des données personnelles sensibles. Mais savoir où une grande partie de ces données finit par être stockée est aussi préoccupant. Pour certains types de données – personnelles et financières, il existe un marché underground florissant.
Menaces basées sur la localisation
La localisation est un autre type de données clé enregistré par nombre d’appareils portables Avec ces informations, les pirates peuvent établir un profil précis des mouvements du porteur tout au long de la journée. Cela peut leur permettre de l'attaquer physiquement, ou sa voiture/maison parfois jugée vide. La sécurité des enfants utilisant ces appareils est encore plus préoccupante s'ils sont suivis par des tiers non autorisés.
Sociétés tierces
Il n’y a pas que les risques sécuritaires auxquels les utilisateurs doivent être attentifs. Les données collectées par ces appareils peuvent être très précieuses pour les annonceurs. Sur certains marchés, il y a un intérêt immense pour ces données qui, dans l'UE, devraient être strictement réglementé par la législation de 2018. Un rapport démontre que les données vendues par les fabricants d'appareils de santé aux compagnies d'assurance génèreraient US$ 855 millions d'ici 2023. Certains tiers les utiliseraient pour créer et revendre des profils publicitaires concernant les porteurs. Si ces données sont stockées, en aval, par d’autres sociétés cela présente un risque de violation plus important.
Déverrouiller la maison intelligente
Certains appareils peuvent être utilisés pour contrôler les appareils domestiques intelligents. Ils peuvent même être mis en place pour déverrouiller votre porte d'entrée. C’est un risque de sécurité majeur en cas de perte ou de vol des appareils et si les paramètres antivol ne sont pas activés.
Où les écosystèmes d'appareils sont-ils insuffisants ?
L'appareil que vous portez n'est qu'une partie de l'ensemble. Il existe en fait plusieurs éléments, du micro logiciel de l'appareil aux protocoles qu'il utilise pour la connectivité, son application et ses serveurs cloud back-end. Tous peuvent être attaqués si sécurité et confidentialité n'ont pas été correctement prises en compte par le fabricant. En voici quelques-uns:
Bluetooth: Bluetooth Low Energy est généralement utilisé pour connecter des appareils portables à un smartphone. Mais au cours des années, beaucoup de vulnérabilités dans le protocole ont été découvertes. Elles permettent à des attaquants proches d'appareils en panne, d'espionner ou de manipuler des données.
Appareils: Souvent, le logiciel de l'appareil est vulnérable aux attaques externes suite à une mauvaise programmation. Même la montre la mieux conçue a été construite par des humains et peut donc contenir des erreurs de codage pouvant également entraîner pertes de données, fuites de confidentialité, etc.
Une authentification/chiffrement faible sur les appareils peut signifier qu'ils sont exposés au piratage et à l'écoute clandestine. Les utilisateurs doivent aussi être conscients des ‘espions dans leur dos’ s'ils consultent, en public, des messages/données sensibles sur leurs appareils portables.
Applis: Les applis pour smartphone liées aux wearables sont une autre voie d'attaque. De plus, elles peuvent être mal écrites et criblées de vulnérabilités, exposant l'accès aux données et aux appareils des utilisateurs. Autre risque: les applis ou les utilisateurs eux-mêmes peuvent être négligents avec les données. Ils peuvent télécharger accidentellement des applis d'imposteurs conçues pour ressembler aux applis légitimes et y saisir des informations personnelles.
Serveurs principaux: Les systèmes basés cloud des fournisseurs peuvent stocker des informations sur l'appareil, y compris des données de localisation et autres. C’est une cible attrayante pour les attaquants recherchant l'argent facile. On ne peut pas y faire grand-chose, sinon choisir un fournisseur réputé avec de bonnes références sécuritaires.
Les scénarios ci-dessus ne sont pas que théoriques. Il y a plusieurs années, des chercheurs en sécurité ont découvert des vulnérabilités généralisées dans les montres intelligentes pour enfants, exposant localisation et données personnelles. Auparavant, une enquête avait révélé que de nombreux fabricants envoyaient, à des serveurs en Chine, des données non cryptées d'enfants utilisant les produits.
Pour verrouiller vos appareils
Il y a plusieurs choses à faire pour minimiser les risques. Les voici:
• Activer l'authentification à deux facteurs
• Mot de passe protégeant les écrans de verrouillage
• Modification des paramètres pour empêcher les connexions non autorisées.
Protéger le smartphone en :
• Ne visitant que des app stores légitimes
• Tenir à jour tous les logiciels
• Ne jamais jailbreaker/enraciner des appareils
• Limiter les autorisations des applis
• Installation d'un logiciel AV réputé sur l'appareil
Protéger la maison intelligente en :
• Ne pas synchroniser les appareils portables et la porte d'entrée
• Garder les appareils sur le réseau Wi-Fi invité
• Mettre à jour de tous les appareils avec le dernier micro logiciel
• S'assurer que les mots de passe de l'appareil soient modifiés par rapport aux paramètres d'usine par défaut
En général:
• Choisir des fournisseurs de wearables réputés
• Vérifier les paramètres de confidentialité et de sécurité pour s'assurer qu'ils sont correctement configurés
Alors que les wearables prennent une place toujours plus grande dans nos vies, ils deviennent une cible plus importante pour les attaquants. Faites vos recherches avant d'acheter et fermez autant de voies d'attaque que possible une fois que vous aurez démarré l'appareil.
LISEZ ENCORE CECI: Sports data for ransom – it’s not all just fun and games anymore
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .