Les maisons deviennent de plus en plus intelligentes. La prochaine fois que vous achèterez un grille-pain, un réfrigérateur ou un lave-vaisselle, il vous faudra peut-être vous connecter au réseau WiFi de votre domicile et télécharger une application sur votre téléphone. Mais cette interconnectivité comporte des risques, explique David Choffnes, professeur agrégé d'informatique à la Northeastern University.
"Nous passons de l'idée que les murs de notre maison constituent notre espace privé à l'idée que les espaces à l'intérieur des murs contiennent tous ces appareils qui communiquent sur l'internet", explique M. Choffnes.
Idéalement, les gadgets domestiques intelligents, également connus sous le nom d'appareils de l'internet des objets (IdO), facilitent la vie des gens. Des tâches telles que le réglage du thermostat, la préparation du café du matin ou la commande d'une nouvelle encre pour votre imprimante pourraient être facilement automatisées ou effectuées via votre smartphone grâce à certains de ces produits.
"Mais lorsque ces appareils communiquent entre eux ou via l'internet, ils le font d'une manière que nous ne pouvons pas voir", explique M. Choffnes.
Certains de ces appareils communiquent leur position, ce qui permet à d'autres appareils de leur réseau local de les localiser, explique M. Choffnes. Dans ce contexte, un réseau local désigne un groupe d'appareils connectés dans un lieu spécifique, comme une maison.
"Ils envoient également d'autres informations qui sont propres à la maison, ce qui signifie que même si vous faites de votre mieux pour préserver votre vie privée, désactiver le suivi sur votre téléphone, qu'il s'agisse d'iOS ou d'Android, tous ces mécanismes que vous avez mis en place pour vous protéger peuvent s'effondrer", explique M. Choffnes.
"Les traqueurs en ligne peuvent savoir qui vous êtes grâce à l'ensemble des appareils présents chez vous, car ils vous sont propres", ajoute-t-il.
Les nouvelles recherches de M. Choffnes et d'une équipe d'autres chercheurs mettent en lumière les failles de sécurité et de protection de la vie privée de cette catégorie de technologie émergente. L'équipe présentera ses travaux cette semaine lors de la conférence ACM sur la mesure de l'internet, qui se tient à Montréal.
Pour l'étude, l'équipe a testé 93 appareils IoT pour voir comment ils interagissent au sein d'un réseau local.
Les résultats de la recherche ont été éclairants, explique M. Chris Choffnes.
"L'une des choses que nous avons observées, c'est que les appareils scannent leur réseau local pour savoir ce que font tous les autres appareils de la maison", ajoute M. Choffnes. "Par exemple, votre haut-parleur intelligent Amazon pourrait savoir si vous avez un réfrigérateur intelligent. Il pourrait connaître votre imprimante. Il pourrait apprendre votre nom parce que si vous avez, par exemple, un HomePod d'Apple, le nom par défaut de cet appareil est généralement votre nom, comme 'HomePod de Dave'."
L'équipe a également constaté des problèmes de sécurité liés au fonctionnement des apps mobiles connectées à ces appareils.
"Sur Android, les applications mobiles peuvent contourner les restrictions de permission imposées par Android, comme l'accès à la géolocalisation ou l'accès aux identifiants uniques, en interrogeant simplement les appareils ou en envoyant des messages à d'autres appareils sur le réseau domestique et en les amenant à communiquer à l'application les mêmes informations que celles que le système d'exploitation leur cachait", explique-t-il.
M. Choffnes note que Google a pris acte des conclusions de l'équipe et collabore avec elle pour développer des mesures d'atténuation qui "pourraient être mises en œuvre via le système d'exploitation Android, les processus d'examen des applications et les efforts généraux de normalisation de l'IdO".
M. Choffnes insiste sur le fait que ces systèmes ne sont pas obligés de fonctionner de cette manière. Il est possible que les appareils fonctionnent de manière interopérable sans présenter de risques aussi importants pour la vie privée et la sécurité.
"Il existe un moyen pour qu'ils se découvrent les uns les autres sans exposer des informations qui pourraient être utilisées pour nous suivre à la trace", explique M. Choffnes.
Dans son étude, l'équipe propose un certain nombre de solutions potentielles, notamment en appelant à une plus grande normalisation de ces appareils. Elle cite en exemple le protocole de maison intelligente Matter, tout en précisant que le système ne traite pas encore les vulnérabilités spécifiques découvertes par l'équipe.
Tinanru Hu, doctorant à Northeastern, et Daniel J. Dubois, chercheur associé à Northeastern, figurent parmi les auteurs de la recherche.
Selon M. Hu, les entreprises n'ont pas été fortement incitées à normaliser. L'un des objectifs de la recherche est d'aider le public à prendre conscience de ces problèmes.
"Grâce à nos recherches, nous voulons sensibiliser les utilisateurs à ce problème", explique-t-il. "Lorsque les utilisateurs seront plus nombreux à connaître le problème, ils pourront motiver les entreprises à déployer les meilleurs efforts en matière de normalisation de la sécurité et de la protection de la vie privée."
Les réglementations et une plus grande implication des gouvernements pourraient également contribuer à réduire certains de ces problèmes, note l'équipe, en citant la loi européenne sur la cyberrésilience et la stratégie nationale de cybersécurité des États-Unis.
RÉSUMÉ
La communication réseau entre les appareils de l'Internet des objets (IoT) sur le même réseau local a des implications importantes pour l'interopérabilité, la sécurité, la confidentialité et l'exactitude de la plateforme et de l'appareil. Pourtant, l'analyse du trafic du réseau Wi-Fi domestique local et les menaces de sécurité et de confidentialité qui y sont associées ont été largement ignorées par la littérature antérieure, qui se concentre généralement sur l'étude de la communication entre les dispositifs IoT et les points finaux dans le nuage, ou sur la détection des dispositifs IoT vulnérables exposés à l'Internet. Dans cet article, nous présentons une étude de mesure complète et empirique pour mettre en lumière la communication locale au sein d'un déploiement de maison intelligente et ses menaces. Nous utilisons une combinaison unique de captures passives du trafic réseau, de pots de miel protocolaires, d'analyses dynamiques d'applications mobiles et de données IoT fournies par les participants afin d'identifier et d'analyser un large éventail d'activités des appareils sur le réseau local. Nous analysons ensuite ces ensembles de données pour caractériser les protocoles du réseau local, ainsi que les menaces pour la sécurité et la vie privée qui y sont associées. Notre analyse révèle des appareils vulnérables, une utilisation non sécurisée des protocoles réseau et l'exposition de données sensibles par les appareils IoT. Nous démontrons comment ces informations sont exfiltrées vers des serveurs distants par des applications mobiles et des SDK tiers, potentiellement à des fins de prise d'empreintes ménagères, de surveillance et de suivi inter-appareils. Nous mettons nos ensembles de données et nos analyses à la disposition du public afin de soutenir la recherche dans ce domaine.
La communication réseau entre les appareils de l'Internet des objets (IoT) sur le même réseau local a des implications importantes pour l'interopérabilité, la sécurité, la confidentialité et l'exactitude de la plateforme et de l'appareil. Pourtant, l'analyse du trafic du réseau Wi-Fi domestique local et les menaces de sécurité et de confidentialité qui y sont associées ont été largement ignorées par la littérature antérieure, qui se concentre généralement sur l'étude de la communication entre les dispositifs IoT et les points finaux dans le nuage, ou sur la détection des dispositifs IoT vulnérables exposés à l'Internet. Dans cet article, nous présentons une étude de mesure complète et empirique pour mettre en lumière la communication locale au sein d'un déploiement de maison intelligente et ses menaces. Nous utilisons une combinaison unique de captures passives du trafic réseau, de pots de miel protocolaires, d'analyses dynamiques d'applications mobiles et de données IoT fournies par les participants afin d'identifier et d'analyser un large éventail d'activités des appareils sur le réseau local. Nous analysons ensuite ces ensembles de données pour caractériser les protocoles du réseau local, ainsi que les menaces pour la sécurité et la vie privée qui y sont associées. Notre analyse révèle des appareils vulnérables, une utilisation non sécurisée des protocoles réseau et l'exposition de données sensibles par les appareils IoT. Nous démontrons comment ces informations sont exfiltrées vers des serveurs distants par des applications mobiles et des SDK tiers, potentiellement à des fins de prise d'empreintes ménagères, de surveillance et de suivi inter-appareils. Nous mettons nos ensembles de données et nos analyses à la disposition du public afin de soutenir la recherche dans ce domaine.
Source : Etude réalisée par Chris Choffnes
Et vous ?
Trouvez-vous cette étude crédible ou pertinente ? Que pensez-vous de l'évolution des technologies de Smart Home ces dernières années ?Voir aussi :
Maison connectée : un homme privé d'accès à sa maison intelligente pendant une semaine, après que le livreur d'Amazon l'ait accusé d'être raciste La Connectivity Standards Alliance a publié la version 1.2 de la spécification Matter, une norme de connectivité IOT, qui facilite la communication entre les appareils de la maison intelligente 40 % des foyers sont exposés à des cyberattaques à cause des appareils intelligents, selon un rapport d'Avast