Des montres connectées hautement vulnérables

HP Fortify s’est penché sur la sécurité applicative de dix montres connectées. Suffisant selon le groupe pour dénoncer des résultats « décevants » et une sécurité plus que perfectible. Mais l’étude pêche par son manque de transparence.

La situation est grave ! Dans un communiqué à l’accroche (que l’on imagine volontairement) inquiétante, HP Fortify assure que 100 % des montres connectées testées par ses soins montrent des failles de sécurité.

Pour produire son étude, le groupe s’est penché sur « 10 des montres connectées les plus populaires sur le marché », à la recherche de vulnérabilités parmi les dix plus critiques pour les objets connectés.

Dans son rapport, HP dit avoir trouvé des résultats « décevants mais pas surprenants », constatant des « déficiences dans les domaines de l’authentification et de l’autorisation, avec des connexions non sécurisées à des interfaces Cloud et mobiles », relevant plus précisément des implémentations SSL/TLS vulnérables. Selon le groupe, 40 % des connexions Cloud utilisées seraient là vulnérables à l’attaque Poodle ou supportent des algorithmes de chiffrement faibles.

Et les chiffres ont, à défaut d’être réellement éclairants, le mérite d’être alarmants : dans 70 % des cas, le firmware de la montre est transmis sans chiffrement ; un tiers des montres testées et de leurs applications sont vulnérables à la pêche aux détails de compte utilisateur ; la moitié des montres n’offrent pas de possibilité de verrouillage d’écran, et « les communications de la montre peuvent être trivialement interceptées dans 90 % des cas ».

Si l’étude de HP encourage la prudence, du côté des utilisateurs particuliers et des entreprises, et la rigueur, du côté des constructeurs, elle ne manque pas de lacunes. La première consiste à ne pas fournir de liste précise des modèles testés, ni encore de version de logiciel embarqué, ou encore de date précise de test pour chacun. De fait, comme pour tout produit où le logiciel joue un rôle clé, les mises à jour sont susceptibles d’être régulières. Dommage que HP manque là d’autant de rigueur et de transparence.

Et sensationnalisme mis à part, beaucoup de particuliers comme de professionnels de la sécurité auraient probablement apprécié de savoir comment se comporte l’Apple Watch en matière de sécurité. Selon Canalys, la firme a la pomme est devenue, avec sa montre, le premier vendeur de montres connectées au monde : plus de quatre millions d’exemplaires auraient été écoulés en seulement un trimestre. Une étude montre en outre qu’une majorité d’utilisateurs de l’Apple Watch n’aurait pas un profil de technophile. De quoi laisser à penser que le constructeur a réussi son pari consistant à ne pas faire de sa montre connectée un objet technologique, mais un accessoire au moins de mode sinon d’image. Suffisant pour lui ouvrir les portes des entreprises par le sommet de la hiérarchie. Et justifier que l’on se penche au plus près sur sa sécurité.

Dans un billet de blog, 1Password fournit un début d’explication. On peut y lire que les communications entre Apple Watch et iPhone sont chiffrées et authentifiées. Toutefois, « les copies d’éléments ajoutés à votre Apple Watch seront stockés sur votre iPhone d’un manière moins sûre qu’en général avec 1Password », indique l’éditeur, précisant que ces copies sont stockées dans trousseau d’accès d’iOS, sorte de coffre-fort à mots de passe géré nativement par le système d’exploitation mobile. Celui-ci est protégé par le mot de passe du terminal mobile. 1Password recommande au moins un code à six chiffres au lieu des 4 proposés par défaut.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close