Le réfrigérateur intelligent de Samsung vient d'être mis en marche. Que diriez-vous du reste de votre maison intelligente?

Publicité

3599 $, c'est beaucoup d'argent.

Cela pourrait vous procurer une voiture d'occasion décente ou un iMac relativement trompé. Vous pouvez acheter 3599 burgers McChicken ou 2589 McDoubles. Ou il pourrait vous procurer le Samsung RF28HMELBSR.

Ce réfrigérateur (au nom accrocheur) a tout. Il a quatre portes, un gigantesque espace de 28 pieds cubes et un écran LCD intégré de 8 pouces compatible WiFi écran tactile qui vous permet de tout faire, de lire les actualités au contrôle à distance de votre Android téléphone intelligent.

Si cela vous semble familier, c'est parce qu'il a déjà figuré sur ma liste de produits Smart Home les plus stupides de tous les temps Réfrigérateurs et cuiseurs à riz contrôlés par le Web: 9 des appareils électroménagers les plus stupidesIl existe de nombreux appareils domestiques intelligents qui méritent votre temps et votre argent. mais il y a aussi des espèces qui ne devraient jamais voir le jour. Voici 9 des pires. Lire la suite . Et ai-je mentionné qu'il est livré avec une vulnérabilité de sécurité massive et béante?

Réfrigérateur intelligent, erreur stupide

Oui, malgré toute sa sophistication, ce réfrigérateur est livré avec une faille de sécurité importante qui pourrait potentiellement voir un attaquant récolter subrepticement les informations de connexion Gmail.

La vulnérabilité a été signalée pour la première fois dans le registre le 24 août et découvert par la société britannique infosec Séparateurs de test de stylo tout en participant à un défi de piratage Internet des objets (IoT) à la récente Defcon 23 conférence.

L'écran tactile intégré sur ce réfrigérateur permet à l'utilisateur d'accéder à son propre calendrier Google. Les connexions vers et depuis les serveurs de Google sont cryptées en utilisant le cryptage SSL Qu'est-ce qu'un certificat SSL et en avez-vous besoin?La navigation sur Internet peut être effrayante lorsque des informations personnelles sont impliquées. Lire la suite , mais l'implémentation de SSL par Samsung ne vérifie pas la validité des certificats.

Cela pose un grave problème de sécurité, car n'importe qui sur le réseau pourrait lancer un "L'homme au milieu" Qu'est-ce qu'une attaque d'homme au milieu? Explication du jargon de sécuritéSi vous avez entendu parler d'attaques de type "homme du milieu" mais n'êtes pas sûr de ce que cela signifie, cet article est pour vous. Lire la suite attaque et intercepter les informations de connexion de l'utilisateur en transit. Un attaquant pourrait également les obtenir en usurpant un point d'accès ou via une attaque de désauthentification sans fil.

Samsung a dit qu'ils étaient "Enquêter sur cette affaire le plus rapidement possible"et travaillent probablement à plat pour émettre un correctif. Mais cet épisode présente une démonstration intéressante de la façon dont la sécurité peut mal tourner sur l'Internet des objets.

(In) Sécurité dans un monde de choses en réseau

Dans le passé, nous avons beaucoup parlé des risques posés par l'Internet des objets, à la fois d'une intimité Pourquoi l'Internet des objets est le plus grand cauchemar en matière de sécuritéUn jour, vous rentrez du travail pour découvrir que votre système de sécurité domestique compatible avec le cloud a été violé. Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pouvez découvrir la voie difficile. Lire la suite et d'un point de vue sécuritaire et sociologique 7 raisons pour lesquelles l'Internet des objets devrait vous faire peurLes avantages potentiels de l'Internet des objets brillent, tandis que les dangers sont jetés dans l'ombre silencieuse. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IoT. Lire la suite . Il est difficile de les aborder, car lorsqu'il s'agit de sécuriser l'Internet des objets, nous rencontrons quelques problèmes.

Premièrement, ces appareils ne sont pas des PC ou des téléphones, dans la mesure où ils sont uniformément faciles à mettre à jour (Windows 10 installera même des mises à jour en votre nom Comment désactiver les mises à jour automatiques des applications dans Windows 10Il n'est pas conseillé de désactiver les mises à jour du système. Mais si besoin est, voici comment procéder sur Windows 10. Lire la suite ), et les fournisseurs derrière eux sont impliqués et publient régulièrement des mises à jour logicielles et de sécurité. De nombreux produits pour la maison intelligente ne se mettent pas à jour en direct, ce qui vous oblige à utiliser des progiciels peu fiables, stockage amovible ou tout simplement ne pas vous permettre de mettre à jour le firmware à tout.

Comment, par exemple, mettre à jour une cafetière interconnectée ou un thermostat informatisé? Il n'y a pas de moyen simple et universel de le faire.

Il est également important de tenir compte du fait que bon nombre de ces appareils sont désormais fabriqués par des gens ordinaires dans leur propre maison. Arduino et Raspberry Pi nous ont permis d'introduire la connectivité réseau et la logique informatisée dans des endroits que nous n'aurions jamais cru possibles, tandis que des produits comme Windows 10 de Microsoft pour l'IoT Windows 10 - Vous venez dans un Arduino près de chez vous? Lire la suite a facilité l’exposition de ces appareils à un Internet plus large, ouvrant simultanément un monde d’opportunités et de risques.

Alors que de nombreux développeurs chevronnés savent comment construire ces appareils de manière sécurisée, beaucoup trop de développeurs novices et amateurs ne le font pas.

Nous abordons ensuite le problème de la longévité. Encore une fois, ce problème est uniquement endémique au monde de la maison intelligente. Parce que, bien que votre PC et votre téléphone exécutent des logiciels créés par des entreprises ayant une longue histoire et des poches profondes, la plupart de vos appareils Smart Home ne l'ont pas.

L'écrasante majorité de ces entreprises sont des startups à un stade précoce ou tardif, beaucoup d'entre elles en sont à un stade provisoire de leur développement. S'ils ferment, qu'advient-il des produits qu'ils ont déjà expédiés? Qui rédigera les mises à jour logicielles et les correctifs de sécurité?

Comme nous l'avons écrit dans le passé, les démarrages matériels sont difficiles Pourquoi les démarrages matériels sont difficiles: donner vie à l'ErgoDoxVoici une opinion controversée pour vous: lancer un démarrage de logiciel est facile. Le matériel, d'autre part? Les démarrages matériels sont difficiles. Vraiment dur. Lire la suite . Déjà cette année, nous avons vu licenciements importants chez Leeo et Wink - deux des plus grandes startups Smart Home. Beaucoup plus - comme Lumos - n'ont pas réussi à décoller complètement.

Mais la menace la plus importante et la plus durable pour la sécurité de la maison intelligente et de l'Internet des objets est peut-être simplement que ces appareils sont conçus pour durer plus longtemps que leurs fabricants ne le souhaiteraient. Les systèmes embarqués et les produits Smart Home peuvent fonctionner, très heureusement, pendant des années et des années. Beaucoup d'entre eux ne fonctionnent pas sur un service d'abonnement.

Devons-nous nous attendre à ce que Nest et Philips proposent des mises à jour aussi longtemps que Microsoft a pris en charge Windows XP Ce que Windows XPocalypse signifie pour vousMicrosoft va supprimer la prise en charge de Windows XP en avril 2014. Cela a de graves conséquences pour les entreprises et les consommateurs. Voici ce que vous devez savoir si vous utilisez toujours Windows XP. Lire la suite ?

Hors du LAN, dans le feu

Ces problèmes de sécurité sont considérablement exacerbés par le fait que bon nombre de ces appareils sont connecté à l'Internet plus large et accessible à distance, introduisant ainsi un large éventail de sécurité préoccupations.

Parce que lorsque vous connectez quelque chose à Internet, vous introduisez ensuite un nouveau vecteur d'attaque à celui qui est si motivé. Au lieu d'avoir à se connecter à votre réseau domestique, quelqu'un pourrait simplement le compromettre à distance.

C'est aussi plus facile que vous ne le pensez. Il y a même un moteur de recherche pour les systèmes embarqués, appelé Shodan. En quelques touches, vous pouvez trouver des systèmes qui ont été exposés à Internet dans le monde entier - des centrales électriques au Japon aux webcams en Hollande et aux téléphones VoIP à New York.

La simple recherche de «Web Cam» expose des milliers de webcams accessibles à distance. Je n'y ai cependant pas accès, car cela me ferait presque certainement enfreindre la loi de 1990 sur la mauvaise utilisation des ordinateurs The Computer Misuse Act: la loi qui criminalise le piratage informatique au Royaume-UniAu Royaume-Uni, la Computer Misuse Act 1990 traite des délits de piratage. Cette législation controversée a été récemment mise à jour pour donner à l'organisation de renseignement britannique GCHQ le droit légal de pirater n'importe quel ordinateur. Même le vôtre. Lire la suite .

C'est effrayant. Nous avons commencé à présenter nos maisons à Internet, et il est très facile de les trouver et de lancer des attaques ciblées contre eux. Nous devons être inquiets.

Alors, que peut-on faire?

Des failles de sécurité, comme celle du réfrigérateur Android de Samsung, seront toujours présentes. Tant qu'il est facile pour les fournisseurs d'émettre des correctifs et qu'ils sont constamment mis à jour tout au long de la durée de vie des appareils, ce n'est pas trop un problème.

Mais il est important que nous abordions les autres problèmes. Des efforts doivent être faits pour s'assurer que les développeurs de produits Smart Home et IoT savent comment développer des systèmes sécurisés. Cela pourrait être accompli par une plus grande sensibilisation auprès de la communauté de la sécurité.

Il existe un certain nombre de précédents à cet égard. le Projet OWASP (Open Web Application Security Project) en est une qui me vient immédiatement à l'esprit. Lancé en 2004, il a produit du matériel pédagogique disponible gratuitement qui enseigne aux développeurs comment créer des sites Web sécurisés et aux pirates comment tester correctement la sécurité des applications Web.

Il n'y a aucune raison pour que quelque chose de similaire ne puisse pas être créé pour le monde de la maison intelligente et pour les développeurs de l'Internet des objets.

De plus, nous devons nous assurer que les systèmes Smart Home sont mis à jour et entretenus, même si les fournisseurs se replient. Cela peut être fait en obligeant chacun à publier son code dans un dépôt de code source, où le code est publié si la société dépose le bilan ou ne parvient pas à maintenir le logiciel d'une manière satisfaisante.

Et en tant que consommateurs, nous devrions commencer à exiger davantage des fournisseurs. Nous devons exiger que les appareils que nous achetons soient pris en charge avec des correctifs de sécurité pour la durée de vie du produit. Nous devons nous attendre à ce que tous les problèmes de sécurité soient résolus rapidement et de manière décisive. Nous devons nous attendre à ce que les fournisseurs traitent les menaces de sécurité avec une transparence absolue. Et nous ne devons pas fréquenter les fournisseurs qui ne respectent pas cette maigre norme.

Ce sont tous des changements relativement modestes, mais il n'y a aucune raison de penser qu'ils n'aboutiraient pas à des appareils Smart Home plus sécurisés. Mais qu'est ce que tu penses?

Si vous avez des idées ou avez des histoires d'horreur sur l'insécurité de l'IoT, je veux en entendre parler. Faites-le moi savoir dans les commentaires ci-dessous, et nous discuterons.

Crédits photo: Kit d'expérimentation Arduino (Oomlout), IMG_5145 (JWalsh)