HP déplore les problèmes de sécurité de l’Internet des Objets

Des chercheurs de HP ont découvert pas moins de 250 failles de sécurité sur des produits liés à ce que l’on nomme l’Internet des objets.

Fortify, la filiale sécurité de HP a publié un rapport alarmant sur la sécurité de l’Internet des objets. La société a testé 10 produits populaires liés à ce marché, comme des télévisions connectées, des webcams, des verrous de portes et de garages, des thermostats, des hubs pour connecter différents appareils, etc. HP n’a pas cité les marques, ni les noms de produits qu’elle a soumis à des tests de sécurité pour connaître leurs résistances et surtout pour découvrir des vulnérabilités.

Les experts de Fortify ont été gâtés avec une moyenne de 25 failles par objets connectés. Soit au total, pas moins de 250 vulnérabilités découvertes dans ces dispositifs. Les problèmes rencontrés ont un spectre assez large allant de la fameuse faille Heartbleed jusqu’au cross scripting, en passant par la faiblesse des mots de passe ainsi que face à des attaques en déni de services.

Un éventail large de vulnérabilités

Les pourcentages sont éloquents : 70% des équipements ne cryptent pas leurs communications, pire 90% d’entre eux collectent au moins un élément de données personnelles à travers le cloud ou une application mobile. Ces données personnelles sont variées, allant des informations de santé, le nom, l’adresse, mais aussi des numéros de cartes bancaires. Et les chercheurs de se poser ouvertement la question, « est-ce que les objets connectés ont véritablement besoin des données personnelles pour fonctionner ? ».

Sur l’authentification entre les objets connectés et les services cloud ou les applications mobiles, HP constate avec effarement la simplicité des mots de passe, « 1234 » ou « 123456 ». En tout, 8 objets sur 10 ne disposent pas d’un mot de passe suffisamment fort. Les mises à jour ne sont pas chiffrées, ouvrant la porte à de possibles attaques.

Le rapport de HP recommande aux constructeurs d’objets connectés de se référer aux bonnes pratiques (une dizaine) de l’OWASP (Open Web Application Security Project). Reste qu’aujourd’hui, la plupart des acteurs IT essayent de se mettre d’accord sur des standards dans le domaine de l’Internet des objets. Plusieurs initiatives ont en effet vu le jour comme celle présentée par Dell, Samsung et Intel à travers l’Open Internet Consortium ou celle de la Fondation Linux AllSeen. Ces différentes solutions vont devoir se pencher fortement sur la sécurité des objets connectés. Gartner prévoit 28 milliards d’objets d’ici en 2020.

crédit photo © chanpipat – shutterstock

A lire aussi :

La gestion des fréquences mobiles à l’heure de l’Internet des objets

L’UPnP veut créer un pont avec l’Internet des objets et le cloud