Symantec se penche sur la vulnérabilité des objets connectés

Pinterest LinkedIn Tumblr +

Après HP, c’est donc au tour de Symantec de tirer la sonnette d’alarme. Dans une étude sur la sécurité des données collectées par les objets connectés, la solution de sécurité révèle d’importantes failles de sécurités de type zéro-day. Ce sont les bracelets connectés de quantified self qui sont particulièrement ciblés.
Alors que nous vous parlions hier d’un rapport accablant d’HP Fortify sur ces mêmes problèmes de sécurité, c’est aujourd’hui Symantec qui en remet une couche dans son dossier « How safe is your Quantified-Self ? » rédigé par Mario Ballano Barcena, Candid Wueest et Hon Lau (voir source) qui se sont focalisés sur la sécurité des capteurs d’activité.
Le groupe spécialisé dans la sécurité informatique a découvert 3 failles zero-day grâce à sa solution Symantec Endpoint Protection. Elle permettraient aux utilisateurs malintentionnés d’accéder à un niveau de droits plus élevé que prévu. Symantec révèle ainsi les objets connectés concernés, et surprise : il s’agit de noms bien connus du monde de l’internet des objets. Ainsi, on apprend que des leaders comme Fitbit et Jawbone sont concernés, mais aussi des applications mobiles bien connues des sportifs, comme RunKeeper ou Runtastic
symantec-securite-objets-connectes

Ce que révèle Symantec :

Les conclusions du rapport de sécurité publié par Symantec n’y vont pas par 4 chemins : il indique notamment que tous les trackers d’activité utilisant le Bluetooth 4.0 Low Energy peuvent être géolocalisés facilement. Le seul hic : ils l’utilisent tous !
Selon Symantec, au moins 20% des applications mobiles utilisées avec les objets connectés ne crypteraient pas leurs données correctement et plus de la moitié des applications n’afficheraient même pas leur politique de confidentialité, ce qui est, du reste, cohérent avec la non-confidentialité 😉 Enfin, Symantec révèle les failles relatives à la transmission des données : les échanges peuvent facilement être interceptés et les données peuvent dès lors être utilisés à des fins commerciales. Heureusement que, chez nous, la CNIL veille sur l’usage des données de quantified self.
objets-connectes-symantec
Pour être moins exposé aux piratages, Symantec recommande d’utiliser un mot de passe très sécurisé et surtout d’éviter le partage automatique sur les réseaux sociaux! Enfin, tant pour sauvegarder votre précieuse batterie ou pour éviter d’être suivi à la trace, mieux vaut systématiquement désactiver le Bluetooth quand vous n’en avez pas l’usage.
Pour les fabricants d’objets connectés, Symantec recommande l’usage de protocoles de sécurités plus contraignants en matière de transmission des données personnelles de leurs utilisateurs. Le groupe de sécurité estime qu’ils devraient demander le moins d’informations possibles aux utilisateurs tant qu’ils ne peuvent pas garantir l’inviolabilité de leurs systèmes. De fait, la course au lancement de nouveaux produits sur le marché de l’internet des objets (qui explose actuellement) pousse les entreprises à lancer rapidement leurs services, parfois sans tests approfondis.

source : Symantec

Partager
A propos de l'auteur