16 mars 2016

[Sécurité] Possesseurs d'objets connectés, préparez-vous à être piratés

Ca peut paraître un peu alarmiste mais la prudence est de mise, car à chaque objet connecté sa faille de sécurité potentielle !

Commençons par l'article évoquant les grandes oreilles des SmartTV de la marque Samsung, Source: http://www.developpez.com/actu/96026/Samsung-invite-les-utilisateurs-de-ses-televisions-intelligentes-a-reflechir-a-deux-fois-avant-de-tenir-des-conversations-privees-devant-elles/
Samsung invite les utilisateurs de ses télévisions intelligentes à réfléchir à deux fois Avant de tenir des conversations privées devant elles

Après avoir rappelé que ses télévisions intelligentes pouvaient intercepter les commandes vocales ainsi que les textes associés afin de vous fournir les fonctionnalités de reconnaissance vocale, Samsung a recommandé de ne pas parler de sujets personnels devant ses dispositifs : « s'il vous plaît, sachez que si ce que vous dites inclut des informations personnelles ou sensibles, ces informations feront partie des données interceptées et transmises aux tierces parties via votre utilisation de reconnaissance vocale »
Bien entendu, pour que vous soyez en mesure d'utiliser des fonctions de reconnaissance vocale interactive, cette fonctionnalité doit être activée au préalable, « bien que vous pourrez contrôler votre télévision en vous servant de certaines commandes vocales prédéfinies ».

Pour Corynne McSherry, directeur légal de l'Electronic Frontier Foundation, à en juger par cette clause, Samsung devait sans doute collecter les commandes vocales pour améliorer les performances de sa télévision : « on dirait qu'ils utilisent un service tiers pour convertir la parole en texte ». Cependant, elle avance que « si j'étais un client, j'aurais aimé savoir qui est cette tierce partie et j'aimerais certainement savoir si mes mots sont transmis sur un canal sécurisé ». Peu de temps après, un activiste de l'EFF a diffusé cette clause sur Twitter en la comparant à la description faite par George Orwell dans sa nouvelle 1984 dans laquelle les écrans de télé écoutaient ce que les gens se disaient chez eux.




Michael Price, avocat pour le compte du Liberty and National Security Program, a déclaré que : « je ne doute pas du fait que ces données sont importantes pour fournir un contenu personnalisé et qui convienne au mieux, mais elles constituent également des informations très personnelles et protégées par la Constitution qui ne devraient pas être vendues à des annonceurs. D'ailleurs elles requièrent que les forces de l'ordre disposent d'un mandat pour pouvoir y avoir accès ».

Samsung a très vite réagi à la controverse suscitée en faisant une déclaration concernant la façon dont la fonctionnalité est utilisée : « après avoir donné son consentement, si un utilisateur se sert de la fonctionnalité de reconnaissance vocale, les données vocales sont fournies à un service tiers pendant une recherche de commande vocale. À ce moment, les données vocales sont envoyées vers un serveur qui va chercher le contenu des requêtes et retourner le contenu désiré à la télévision ». Le constructeur a ajouté qu'il ne conserve pas les données vocales qui ont été interceptées et donc ne les vend pas. Il a également précisé que les propriétaires de télévisions intelligentes ont toujours la capacité de savoir si la commande vocale est activée étant donné qu'une icône de microphone sera visible sur l'écran.

Peu de temps après, suivant les recommandations de Corynne McSherry, le constructeur a mis à jour cette clause en précisant le nom de l'entreprise tierce qui s'occupe de ce service : il s'agit de Nuance Communications Inc. qui est spécialisée dans la reconnaissance vocale.

Source : BBC, Twitter   
Maintenant, lisons cet article concernant le rappel des voitures Nissa Leaf (source : http://www.01net.com/actualites/la-nissan-leaf-est-une-proie-facile-pour-les-hackers-954785.html):

La Nissan Leaf, proie facile pour les hackers

Nissan fait les frais d’un hacker qui démontre la facilité d’accès à certaines données stockées dans la voiture électrique via l’application ConnectEV. L’appli a depuis été retirée des magasins d’applications.

Les voitures connectées sont de véritables proies pour les hackers. C’était d’ailleurs l’un des sujets brulants des conférences Black Hat et DefCon 2015 (les plus grands rassemblements de hackers), où les pires scénarios possibles nous ont été présentés. Visiblement, le phénomène n’est pas prêt de s’essouffler et c’est aujourd’hui Nissan qui en fait les frais sur sa voiture électrique, la Leaf. Pointée du doigt sur son site par l’expert en sécurité Troy Hunt, l’application Nissan ConnectEV souffre en effet d’une faille majeure permettant d’accéder facilement à certaines données et fonctions de la voiture.

Ce hack est parti d’une situation assez amusante. Troy Hunt explique que lors d’une formation dédiée aux développeurs en Norvège, il a été interpellé par un possesseur de Nissan LEAF – une voiture électrique très populaire là-bas– qui souhaitait mettre à l’épreuve la sécurité de ConnectEV.

De fil en aiguille, Troy Hunt et Scott Helme, un autre expert en sécurité, ont découvert qu’il était possible d’accéder aisément à son véhicule, mais aussi... à n'importe quelle Nissan LEAF.

En effet, pour exploiter cette faille, il suffit simplement de relever le numéro VIN (Vehicle Identification Number, soit la carte d’identité de la voiture) d’une Leaf. Et la chose est ridiculement simple, puisque ce numéro d’identification est visible au bas du pare-brise sur n'importe quelle auto. C’est notamment celui-ci qui permet aux forces de l’ordre, lors d’un contrôle, de vérifier que le véhicule correspond bien à celui de la carte grise.

Nissan ConnectEV est le maillon faible

L’application Nissan ConnectEV permet aux clients ayant acheté la voiture électrique d’accéder aux données de leur voiture : contrôle de la charge, localisation GPS, etc.

La vidéo ci-dessous pointe la rapidité et la simplicité étonnante avec laquelle le hacker pénètre le véhicule.  Il lui est ensuite possible d’allumer la climatisation de la voiture ou encore de consulter les données enregistrées dans le GPS. Dans le premier cas, une personne mal intentionnée pourrait utiliser ce hack pour vider la batterie en activant la clim' toute une nuit par exemple. Dans l’autre, il permettrait de suivre assez facilement le véhicule en vue, dans le pire des cas, de le voler.
Sur sa page Internet, Troy Hunt réalise même un pas-à-pas de la marche à suivre pour exploiter la faille de l’application Nissan. Mais ne vous précipitez pas : le constructeur s’est d’ores et déjà excusé auprès de ses clients et a retiré l’application des magasins d’applications. Nissan s’est par ailleurs engagé à corriger les problèmes et livrer une nouvelle version plus sécurisée de l’application.

À noter que, selon le CCFA (Comité des Constructeurs Français d’Automobiles), 2222 Nissan Leaf auraient été immatriculées en 2015.

Ou comment être une victime du "progrès" technologique !

Dans les cas précédents, on se retrouve face à des failles de sécurité énorme dans nos propres vies.
Dans le cas de la télévision "intelligente", qu'est-ce qui empêche un tiers de récolter les conversations sensibles, de pouvoir avoir accès à des informations et même faire chanter les auteurs de la conversation.

Pour ce qui est de la voiture intelligente, c'est encore pire, et si une personne mal intentionnée avait accès à votre voiture et la contrôlait à distance, provoquerait un accident?


Mais le plus intéressant est de voir à quel point nous nous dirigeons progressivement vers une société ultra-connectée, ultra-assistée et surtout : ultra-surveillée. Tout ce que le roman 1984 anticipait est possible techniquement et cela depuis plus d'une décennie.

Nous nous dirigeons progressivement vers une prison mentale, froide et technologique, bref, à la domestication progressive de l'humain. Mais le pire dans cette histoire c'est qu'il n'y a personne qui force le citoyen (ou plutôt "citoyen consommateur") à s'y enfermer, il s'tout seul comme un grand dans cette prison douillette, aucun garde-chiourme pour nous y pousser, nous y courons!

Smartphone, tablette, montre connectée, paire de lunettes connectée, TV connecté et bientôt micro-onde, grille-pain, voiture, sèche-cheveux, et même WC connectés ! jusqu'à quelle extrémités arriveront nous pour finalement nous rendre compte que nous ne sommes plus capables de produire une réflexion, d'expérimenter, se tromper, bref d'avoir un comportement humain.

Bon je me suis énervé 5 minutes, mais maintenant qu'est-ce que je fais à mon niveau pour aller à contre-courant de cette domestication ?

Déjà en être conscient et cela passe par identifier les phénomènes actuels et d'anticiper les futurs.

Les ouvrages peuvent être intéressants :

"La domestication de l'humain" d'Alain Cotta
http://www.fayard.fr/la-domestication-de-lhumain-9782213682433
"L'Être contre l'Avoir - Pour une critique radicale et définitive du faux omniprésent" de Francis Cousin

http://www.leretourauxsources.com/index.php/letre-contre-lavoir-detail

Aucun commentaire:

Enregistrer un commentaire