Les appareils de surveillance domestique, comme les caméras vidéo et les systèmes d’alarme, connaissent un regain d’intérêt depuis qu’ils ont rejoint la grande famille des objets connectés (Internet of Things – IoT). Selon le Gartner, en 2015 le monde comptera 4,9 milliards d’objets connectés, et leur nombre atteindra 25 milliards en 2020[1]. Cette étude révèle combien ce marché est mal sécurisé, ce qui pose problème lorsqu’on met en perspective le taux de croissance attendu de l’IoT.

Les fabricants mettent rapidement sur le marché des systèmes de sécurité incorporant des solutions de supervision à distance. Avec la connexion réseau et l’accès nécessaires pour surveiller ces équipements distants, le risque de faille de sécurité est bien plus important avec ces appareils qu’avec ceux de la génération précédente, non connectés à Internet.

L’étude s’interroge pour savoir si ces équipements rendent finalement nos domiciles plus sécurisés, ou au contraire les exposent à des risques d’accès réseau frauduleux sur des objets connectés peu sécurisés.

HP a utilisé HP Fortify on Demand pour auditer 10 équipements connectés de sécurisation des domiciles, avec leur composants cloud et les applications mobiles de pilotage. L’étude a montré qu’aucun de ces appareils n’exigeaient l’emploi de mot de passe forts, ni de proposait de mécanisme d’authentification à deux niveaux.

Les soucis de sécurité les plus courants et les plus faciles à régler identifiés par l’étude comportent :

Un niveau d’authentification insuffisant : aucun des systèmes intégrant une interface web et/ou sur mobile ne demandait un niveau de complexité ou de longueur suffisant pour les mots de passe. La plupart d’entre eux se contentaient d’un mot de passe constitué de six caractères alphanumériques. Aucun système ne verrouillait les accès suite à un certain nombre de tentatives infructueux.

Des interfaces peu sécurisées : toutes les interfaces web basées sur le cloud ont montré des failles de sécurité permettant à un hacker d’accéder au compte utilisateur et d’en aspirer le contenu via 3 défauts de sécurité de l’application : énumération des comptes utilisateurs, faible politique de gestion des mots de passe et manque de verrouillage du compte. De même, 5 des 10 systèmes testés ont montré des risques de vol de contenu via l’application d’accès sur smartphone, ce qui expose les clients à des risques similaires.
Questions concernant des informations à caractère privé : tous les systèmes testés ont collecté certaines informations personnelles telles que nom, adresse, date de naissance, numéro de téléphone et même des numéros de carte de crédit. L’exposition de ces renseignements personnels est une préoccupation, vu les risques de vol du contenu des comptes utilisateurs détectés sur tous ces systèmes. Notons également que l’utilisation de la vidéo est une fonctionnalité clé de nombreux systèmes de sécurité du domicile, couplée à l’affichage distant depuis des applications mobiles et des interfaces web basés sur le cloud. La confidentialité des images vidéo de l’intérieur de votre domicile devient une préoccupation supplémentaire.

Manque de chiffrement des données transmises : bien que tous les systèmes étudiés intègrent un mécanisme de chiffrement des données transmises comme SSL ou TLS, plusieurs connexions au cloud demeurent vulnérables aux attaques (par exemple PODDLE). Configurer correctement le chiffrement des transmissions est important dans la mesure où la sécurité est une fonctionnalité essentielle attendue de la part de ces équipements.

« Alors que nous continuons à nous réjouir de la facilité et de l’existence de ces appareils connectés, nous devrions mieux comprendre les risques de vulnérabilité qu’ils peuvent faire courir sur nos domiciles et nos familles », a déclaré Jason Schmitt, Vice-Président et Directeur Général de Fortify, au sein de la division Enterprise Security Products d’HP. « Lorsqu’on sait que 10 des systèmes de sécurité les plus connus manquent de fonctionnalités de sécurité de base, il est important pour les consommateurs d’adopter des mesures de sécurité simples et pratiques lorsqu’elles existent. De leur côté, les fabricants d’appareils doivent prendre la responsabilité de la sécurité dans leurs produits pour éviter d’exposer leurs clients à de graves menaces sans qu’ils soient informés ».

Pendant que les fabricants d’objets connectés travaillent sur l’amélioration des fonctions de sécurité attendues, les consommateurs sont encouragés à prendre en compte le critère sécurité lorsqu’ils choisissent un système de surveillance de leur domicile. Mettre en place des réseaux domestiques sécurisés avant d’ajouter des objets connectés peu sécurisés, en optant pour des fonctions de sécurité supplémentaires telles que des mots de passe complexes, les verrouillages de compte et l’authentification à deux niveaux ne sont que quelques mesures que les consommateurs peuvent prendre pour rendre leur expérience des objets connectés plus sûre.

Cette étude est un prolongement de l’étude 2014 HP Internet of Things Research Study qui passait en revue la sécurité des 10 objets connectés les plus courants.