Dans le monde d’aujourd’hui, les objets connectés ont fait leur preuve surtout dans le contexte de la “Smart Home” ou la “Maison connectée”. Ces dispositifs sont utilisés par les propriétaires de maison pour sécuriser leurs maisons (caméras de surveillance connectées, thermostat connecté, etc.) ou pour anticiper les pannes d’équipements ou les fuites de gaz, etc. Seulement, le problème qui revient en boucle, c’est celui de la protection des millions de gigas de données que recueillent ces équipements. Dans ce cas, « l’IoT fait peur », déclarent certaines personnes. Le problème de la sécurité des données semble être le plus grand défi de l’IoT et les incidents de piratage de données ou encore de fuites de données sont multiples.
Que ce soit le piratage des caméras Nest de Nest Labs, une filiale de Google ou le piratage d’un thermostat connecté qui a permis à des pirates de dérober environ 10 Go de données ou encore les portes des bureaux de la succursale de Google à Sunnyvale (une ville californienne) dont un employé a pris le contrôle aisément grâce aux objets connectés intégrés au système, les exemples ne manquent pas. C’est probablement à cause de toutes ces raisons que l’idée de confectionner une montre pour suivre quelqu’un à la trace répugne beaucoup de personnes.
Dans le cas de la montre TicTocTrack, ses multiples fonctionnalités permettent à son propriétaire d’être localisé à n’importe quel moment. Particulièrement conçu pour suivre les enfants à la trace, TicTocTrack met à jour la position de son porteur toutes les six minutes en combinant les données satellitaires du GPS et de Google Maps. Il permet de délimiter une zone de couverture et d'avertir lorsque la zone a été enfreinte et peut être liée jusqu’à six numéros de téléphone portable, une surveillance qui va au-delà des frontières du pays selon l’entreprise éditrice. « Notre plateforme logicielle conçue en Australie vous permet de surveiller sur votre enfant n’importe où dans le monde. Les excursions à l'étranger peuvent être stressantes, mais avec TicTocTrack, vous pouvez toujours les surveiller depuis le confort de votre maison », ont-ils déclaré.
Cependant, la technologie de la montre souligne des inquiétudes majeures. Que se passera-t-il lorsque quelqu’un prendra le contrôle de la montre en dehors des numéros de téléphone portables qui lui sont liés ? Troy Hunt souligne des incidents liés à ce type de dispositif qui ont lieu en Norvège, notamment des failles de sécurité dans les montres Gator et Xplora. Ces défauts, écrit-il, incluaient la capacité pour un étranger de prendre le contrôle de la montre et de le suivre, d'écouter et de communiquer avec l'enfant qui le porte et de lui faire savoir qu’il est quelque part où il ne devrait pas être. Ces problèmes (entre autres) ont amené le directeur de la politique numérique en Norvège à conclure que : « ces montres n'ont pas de place sur l'étagère d'un magasin, encore moins sur le poignet d'un enfant ».
Un des problèmes critiques de ces montres concerne le stockage des messages. En effet, il a été souligné dans les pays comme les États-Unis ou l’Allemagne que ces montres stockent les messages vocaux des parents et des enfants sur des serveurs Web ouverts ou non protégés. « En Allemagne, on a demandé aux parents de détruire les montres intelligentes qu'ils ont achetées pour leurs enfants après que le régulateur des télécommunications du pays ait mis en place une interdiction générale pour empêcher la vente de ces appareils, en raison de préoccupations croissantes en matière de protection de la vie privée », a rappelé Troy Hunt. Au fur et à mesure que les scientifiques creusent, le nombre de problèmes liés à la protection de la vie privée qu’ils rencontrent grandit.
De plus, il rapporte que la montre australienne TicTocTrack présente également des problèmes d'insécurité liés à la référence directe aux objets appelés IDOR (Insecure Direct Object Reference). Une vulnérabilité IDOR se produit lorsqu'une application offre un accès direct à des objets en fonction de l'entrée fournie par l'utilisateur. En raison de cette vulnérabilité, les attaquants peuvent contourner les autorisations et accéder directement aux ressources du système. Il peut y avoir de nombreuses variables dans l'application telles que “ID”, “PID”, “UID”. Bien que ces valeurs soient souvent considérées comme des paramètres HTTP, elles peuvent être trouvées dans les en-têtes et les cookies. L'attaquant peut accéder, modifier ou supprimer tous les objets des autres utilisateurs en modifiant les valeurs.
Selon lui, il s’agirait des mêmes montres chinoises Gator qui, autrefois, ont fait l'objet de critiques et d'interdiction de vente en Allemagne et ailleurs à cause des nombreuses failles de sécurités qu’elles présentaient. Dans ses tests sur la montre TicTocTrack, il énumère les faits selon lesquels le dispositif n’est pas nouveau, mais plutôt d’un remodelage de la montre chinoise Gator et qu'en plus, les données enregistrées par la montre ne sont pas essentiellement stockées dans le pays australien. Ensuite, il fait savoir que l’application destinée au suivi permanent est un site Web localisé sur un serveur d’hébergement différent de celui du stockage et encore dans un état différent.
Après cela, il explique que la montre peut être facilement piratée. En effet, avec l’aide d’autres personnes, ils ont pu modifier très facilement les données de localisation d’une montre TictocTrack qu’il a mise au poignet de sa fille pour la situer dans la mer alors qu’elle était censée être sur un court de tennis. Ils ont pu réaliser cet exploit en exploitant une vulnérabilité non sécurisée dans l’API de TicTocTrack, une chose qu’il juge très dangereuse. La position d’un enfant qui porte la montre peut être modifiée au gré. À en croire ses propos, la montre pourrait servir pour un kidnapping. « Ce n'est pas simplement le fait de faire apparaître l'enfant de quelqu'un dans un endroit différent de celui auquel les parents s'attendent qui intrigue le plus. Vous pouvez également le faire apparaître exactement là où les parents s'attendent, alors qu'il est loin de là », a-t-il fait savoir.
L’autre risque qu’il a souligné est celui lié aux enregistrements vocaux. Il estime que ceci, à son tour, introduit un risque beaucoup plus effrayant : des parties inconnues peuvent parler à vos enfants. Un parent peut appeler l'appareil et le faire répondre automatiquement sans interaction de la part de l'enfant. Ainsi, selon ses démonstrations, il a montré qu’un individu tiers peut s’introduire dans le système de la montre d’un enfant, s’ajouter en tant que parent de ce dernier et discuter avec lui. Il s’agit là probablement de l’une des failles critiques du système qui ont poussé certains gouvernements à interdire la vente de ces dispositifs connectés.
La question est : avec les nombreuses failles de sécurité soulignées ci-dessus, êtes-vous prêts à faire suivre vos enfants à l’aide d’un tel dispositif ? La montre présente, selon certains, des failles de sécurité grave qui pourraient porter atteinte à la vie privée de ses utilisateurs ou encore plus grave, un individu mal intentionné et bien avisé sur ces failles peut les utiliser pour organiser l’enlèvement d’un enfant, récolter des données sur la famille concernée, leur faire du chantage, etc.
Source : Billet de blog
Et vous ?
Qu'en pensez-vous ?
Comment pourrait-on sécuriser un tel dispositif de localisation, selon vous ?
Voir aussi
Un employé de Google pirate les portes de bureaux de l'entreprise pour l'avertir des vulnérabilités des dispositifs de l'IoT intégrés à ses systèmes
IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino et extirper 10 Go de data
Un hacker pirate des caméras de surveillance pour parler à un bébé, la sécurité des objets connectés est-elle remise en cause ?"