Les maisons deviennent de plus en plus intelligentes. La prochaine fois que vous achterez un grille-pain, un rfrigrateur ou un lave-vaisselle, il vous faudra peut-tre vous connecter au rseau WiFi de votre domicile et tlcharger une application sur votre tlphone.
Mais cette interconnectivit comporte des risques, explique David Choffnes, professeur agrg d’informatique la Northeastern University.
« Nous passons de l’ide que les murs de notre maison constituent notre espace priv l’ide que les espaces l’intrieur des murs contiennent tous ces appareils qui communiquent sur l’internet« , explique M. Choffnes.
Idalement, les gadgets domestiques intelligents, galement connus sous le nom d’appareils de l’internet des objets (IdO), facilitent la vie des gens. Des tches telles que le rglage du thermostat, la prparation du caf du matin ou la commande d’une nouvelle encre pour votre imprimante pourraient tre facilement automatises ou effectues via votre smartphone grce certains de ces produits.
« Mais lorsque ces appareils communiquent entre eux ou via l’internet, ils le font d’une manire que nous ne pouvons pas voir« , explique M. Choffnes.
Certains de ces appareils communiquent leur position, ce qui permet d’autres appareils de leur rseau local de les localiser, explique M. Choffnes. Dans ce contexte, un rseau local dsigne un groupe d’appareils connects dans un lieu spcifique, comme une maison.
« Ils envoient galement d’autres informations qui sont propres la maison, ce qui signifie que mme si vous faites de votre mieux pour prserver votre vie prive, dsactiver le suivi sur votre tlphone, qu’il s’agisse d’iOS ou d’Android, tous ces mcanismes que vous avez mis en place pour vous protger peuvent s’effondrer« , explique M. Choffnes.
« Les traqueurs en ligne peuvent savoir qui vous tes grce l’ensemble des appareils prsents chez vous, car ils vous sont propres« , ajoute-t-il.
Les nouvelles recherches de M. Choffnes et d’une quipe d’autres chercheurs mettent en lumire les failles de scurit et de protection de la vie prive de cette catgorie de technologie mergente. L’quipe prsentera ses travaux cette semaine lors de la confrence ACM sur la mesure de l’internet, qui se tient Montral.
Pour l’tude, l’quipe a test 93 appareils IoT pour voir comment ils interagissent au sein d’un rseau local.
Les rsultats de la recherche ont t clairants, explique M. Chris Choffnes.
« L’une des choses que nous avons observes, c’est que les appareils scannent leur rseau local pour savoir ce que font tous les autres appareils de la maison« , ajoute M. Choffnes. « Par exemple, votre haut-parleur intelligent Amazon pourrait savoir si vous avez un rfrigrateur intelligent. Il pourrait connatre votre imprimante. Il pourrait apprendre votre nom parce que si vous avez, par exemple, un HomePod d’Apple, le nom par dfaut de cet appareil est gnralement votre nom, comme ‘HomePod de Dave’. »
L’quipe a galement constat des problmes de scurit lis au fonctionnement des apps mobiles connectes ces appareils.
« Sur Android, les applications mobiles peuvent contourner les restrictions de permission imposes par Android, comme l’accs la golocalisation ou l’accs aux identifiants uniques, en interrogeant simplement les appareils ou en envoyant des messages d’autres appareils sur le rseau domestique et en les amenant communiquer l’application les mmes informations que celles que le systme d’exploitation leur cachait« , explique-t-il.
M. Choffnes note que Google a pris acte des conclusions de l’quipe et collabore avec elle pour dvelopper des mesures d’attnuation qui « pourraient tre mises en uvre via le systme d’exploitation Android, les processus d’examen des applications et les efforts gnraux de normalisation de l’IdO« .
M. Choffnes insiste sur le fait que ces systmes ne sont pas obligs de fonctionner de cette manire. Il est possible que les appareils fonctionnent de manire interoprable sans prsenter de risques aussi importants pour la vie prive et la scurit.
« Il existe un moyen pour qu’ils se dcouvrent les uns les autres sans exposer des informations qui pourraient tre utilises pour nous suivre la trace« , explique M. Choffnes.
Dans son tude, l’quipe propose un certain nombre de solutions potentielles, notamment en appelant une plus grande normalisation de ces appareils. Elle cite en exemple le protocole de maison intelligente Matter, tout en prcisant que le systme ne traite pas encore les vulnrabilits spcifiques dcouvertes par l’quipe.
Tinanru Hu, doctorant Northeastern, et Daniel J. Dubois, chercheur associ Northeastern, figurent parmi les auteurs de la recherche.
Selon M. Hu, les entreprises n’ont pas t fortement incites normaliser. L’un des objectifs de la recherche est d’aider le public prendre conscience de ces problmes.
« Grce nos recherches, nous voulons sensibiliser les utilisateurs ce problme« , explique-t-il. « Lorsque les utilisateurs seront plus nombreux connatre le problme, ils pourront motiver les entreprises dployer les meilleurs efforts en matire de normalisation de la scurit et de la protection de la vie prive. »
Les rglementations et une plus grande implication des gouvernements pourraient galement contribuer rduire certains de ces problmes, note l’quipe, en citant la loi europenne sur la cyberrsilience et la stratgie nationale de cyberscurit des tats-Unis.
RSUM
La communication rseau entre les appareils de l’Internet des objets (IoT) sur le mme rseau local a des implications importantes pour l’interoprabilit, la scurit, la confidentialit et l’exactitude de la plateforme et de l’appareil. Pourtant, l’analyse du trafic du rseau Wi-Fi domestique local et les menaces de scurit et de confidentialit qui y sont associes ont t largement ignores par la littrature antrieure, qui se concentre gnralement sur l’tude de la communication entre les dispositifs IoT et les points finaux dans le nuage, ou sur la dtection des dispositifs IoT vulnrables exposs l’Internet. Dans cet article, nous prsentons une tude de mesure complte et empirique pour mettre en lumire la communication locale au sein d’un dploiement de maison intelligente et ses menaces. Nous utilisons une combinaison unique de captures passives du trafic rseau, de pots de miel protocolaires, d’analyses dynamiques d’applications mobiles et de donnes IoT fournies par les participants afin d’identifier et d’analyser un large ventail d’activits des appareils sur le rseau local. Nous analysons ensuite ces ensembles de donnes pour caractriser les protocoles du rseau local, ainsi que les menaces pour la scurit et la vie prive qui y sont associes. Notre analyse rvle des appareils vulnrables, une utilisation non scurise des protocoles rseau et l’exposition de donnes sensibles par les appareils IoT. Nous dmontrons comment ces informations sont exfiltres vers des serveurs distants par des applications mobiles et des SDK tiers, potentiellement des fins de prise d’empreintes mnagres, de surveillance et de suivi inter-appareils. Nous mettons nos ensembles de donnes et nos analyses la disposition du public afin de soutenir la recherche dans ce domaine.
Source : Etude ralise par Chris Choffnes
Et vous ?
Trouvez-vous cette tude crdible ou pertinente ?
Que pensez-vous de l’volution des technologies de Smart Home ces dernires annes ?
Voir aussi :