Des objets connectés toujours plus vulnérables

Dans un billet de blog, Candid Wueest, chercheur en menaces chez Symantec, jette un pavé dans la mare. Si elle ne surprendra pas les experts, son analyse des façons dont un téléviseur connecté peut être compromis aura peut-être au moins le mérite d’éveiller les esprits.

Et il y a urgence car les téléviseurs connectés pourraient devenir des cibles de choix pour les cybercriminels : ils seront 100 millions en 2016 entre l’Amérique du Nord et l’Europe de l’Ouest. Et ils sont potentiellement vulnérables à un vaste éventail d’attaques.

Cela commence par les attaques de type man-in-the-middle, exploitant le fait certaines connexions établies par ces téléviseurs ne sont pas chiffrées ou uniquement avec des certificats SSL auto-signés. Mais si l’industrie de la télévision utilise des méthodes robustes de protection des contenus, comme le souligne Candid Wueest, il n’est pas sûr que celle des téléviseurs et de leurs applications consente à cet effort.

La question des clés et des certificats apparaît d’autant plus cruciale que, selon SEC Consult, l’industrie toute entière des objets connectés tend à réutiliser certificats HTTPS et clés SSH. Dans un billet de blog, le cabinet de conseil explique ainsi avoir analysé les images de firmware de plus de 4000 appareils embarqués de plus de 70 constructeurs – passerelles, routeurs, modems, caméras IP, téléphones SIP – pour ne trouver in fine que quelques « 580 clés privées uniques distribuées sur tous les appareils analysés ». Un jeu de clés qui, après recherche, contient les clés privées des certificats de 9 % des hôtes HTTPS du Web, et de 6 % des hôtes SSH accessibles en ligne.

Pour Candid Wueest, la demande de téléchargement d’une application peut être l’occasion d’une redirection pour forcer l’installation d’un logiciel malveillant sur un téléviseur connecté. La compromission peut aussi avoir lieu par l’exploitation de vulnérabilités.

Et là, si l’éditeur du système d’exploitation diffuse régulièrement des mises à jour, encore faut-il que le constructeur de l’appareil les relaie. C’est une problématique bien connue dans le monde de la mobilité avec Android. Lequel vise également le marché de la télévision connectée, justement.

Candid Wueest liste alors les risques, pour les propriétaires de téléviseurs connectés. Mais ceux-ci peuvent également s’étendre à d’autres appareils relevant de ce qu’il convient désormais d’appeler l’Internet des objets.

Et cela commence par la fraude au clic, ou encore l’enrôlement de produits compris au sein de botnets, le vol de données, ou encore la production artificielle de crypto-monnaies. Mais comme Kevin Bocek, de Venafi, le chercheur de Symantec entrevoit aussi le risque de prise en otage d’appareils connectés, avec demande de rançon.

Et c’est justement l’exercice auquel s’est prêté Candid Wueest : infecter son téléviseur sous Android avec un rançongiciel. Celui qu’il a installé « affiche une demande de rançon aléatoire toutes les quelques secondes, ce qui m’empêche toute interaction pertinente avec lui.

Si le chercheur donne quelques pistes aux utilisateurs pour éviter une telle situation, son expérience a le mérite de donner corps à la menace et d’inviter à la prudence, tant du côté des utilisateurs que, surtout, des constructeurs et de leurs partenaires développeurs et prestataires de services. S’ils sont attentifs.