Les objets connectés : la nouvelle servitude volontaire

Comme s'il ne suffisait pas de se faire espionner par les états

ou par les grandes firmes commerciales via les réseaux sociaux, les cloud, les système de partage de fichiers

voici l'introduction massive dans nos vies des objets connectés : voitures, télévisions, caméras, jouets et même des pompes à insuline ! Tous peuvent être piratés ! Ou être utilisées par les états ou les firmes commerciales pour vous espionner !

Une nouvelle servitude volontaire, quoi que lorsque nous achetons à nos enfants des jouets connectés ce n'est pas leur propre choix.

Edward Snowden le dit lui-même : “Laissez tomber Dropbox, Facebook et Google”. Tout y passe, Skype, angry birds, les jeux en ligne, twiter, les téléphones fixes, mobiles, les SMS. Big Brother est là et bien là.

Je ne peux que lui donner raison et en rajouter une couche : “Laissez tomber les objets connectés et en particulier les jouets connectés"

comment protéger ses données personnelles :

les conseils de Snowden lui même
historiques de navigation et recherches internet, formulaires
autre usages (mail, vidéoconférence, transfert de fichiers etc)

décembre 2015 : STASI Barbie

Les jouets connectés sont dans l’oeil du cyclone à quelques jours des fêtes de Noël. Première victime, VTech, spécialiste de jouets hi-tech comme des tablettes. La firme de Hong-Kong a annoncé qu’une de ses bases de données clients avait été piratée en exposant 5 millions de comptes d’adultes. Pire encore, les comptes de 6,4 millions d’enfants ont été compromis avec à la clé des photos, des messages, des identifiants, des adresses, des dates de naissance. Et la France n’est pas épargnée avec plus e 800 000 comptes compromis. Au total, 190 Go de données ont été exfiltrées par un ou des cybercriminels.

Autre jouet dans la spirale de la tourmente sécuritaire, Barbie ou plus exactement sa version « intelligente », Hello Barbie. Cette poupée disponible aux Etats-Unis a la particularité de disposer d’un micro, pour dialoguer avec un enfant. Connectée à Internet, elle envoie les demandes de l’enfant dans un Cloud pour être analysées via de l’intelligence artificielle et apporter une réponse rapidement. Un groupe américain de défense des enfants, Free Childhood, s’est ému de ce jouet en pointant du doigt l’absence de sécurité et de contrôle des données stockées dans le Cloud. « Tout ce que votre enfant dit est transmis à des serveurs distants où tout sera stocké et analysé par ToyTalk, le partenaire technologique de Mattel », informe Free Childhood.

Mais au-delà des questions de stockage des données, la société BlueBox Security et le chercheur indépendant Andrew Hay ont mis en évidence de multiples failles dans les applications iOS et Android qui fonctionnent avec la poupée, mais également du côté des serveurs de ToyTalk. Sur les apps, ils constatent que les mots de passe sont les mêmes pour tout le monde pour vérifier les certificats. De plus, les smartphones se connectent à des réseaux WiFi non sécurisés à condition de mettre le nom Barbie. Il est donc facile de créer un hub WiFi Barbie et de détourner le trafic réseau. Les chercheurs relativisent néanmoins l’ampleur du problème en précisant que l’interception ne peut se faire que quand la poupée se connecte au réseau WiFi. Enfin, les apps intègrent du code non utilisé mais qui augmente la surface d’attaque.

Mais si d’autres personnes ont volé des informations sur les comptes des enfants, comme le suggère le pirate de VTech, alors le scénario pourrait prendre une tournure plus néfaste. On pense bien évidemment à du trafic d’images pour des pédophiles sur le Dark Web, avec tous les risques adjacents comme la sociale ingénierie. Mais les données sur les enfants sont une pépite pour les fraudeurs. Sur le marché noir, le package nom, date de naissance, adresse e-mail et numéro de sécurité sociale d’un enfant s’échange pour 30 à 40 dollars. Pour les adultes, ce montant s’élève à 20 dollars. Une étude de l’université de Carnegie Mellon en 2011 montrait que 10% des échantillons de numéro de sécurité sociale d’enfants dérobés étaient associés à de la fraude, une proportion 10 fois plus élevée que chez les adultes.

http://www.silicon.fr/vtech-et-hello-barbie-jouets-connectes-enfants-en-danger-133415.html?PageSpeed=noscript

septembre 2016 : La démonstration de la prise de contrôle à distance d'une Tesla Model S par des chercheurs chinois démontre que la cybersécurité automobile n'est pas une mince affaire.

C'est arrivé tout récemment à une Tesla Model S, victime d'une équipe de chercheurs chinois travaillant pour Keen Security, une filiale du géant de l'internet Tencent. Tesla a reconnu la faille et publié une mise à jour pour la corriger, comme on téléchargerait un patch pour Windows.
Certes, l'automobiliste moyen n'est pas encore concerné: il s'est vendu moins de 2000 Model S en France depuis l'automne 2013. Mais toute voiture connectée à Internet peut devenir la cible d'un piratage informatique. Et il n'y a pas que les Tesla, ni même les véhicules semi-autonomes, qui sont exposées à ce risque. D'ici 2020, Gartner estime qu'il y aura 250 millions de voitures connectées en circulation dans le monde.
Autre signe que la problématique prend de l'ampleur, une conférence exclusivement consacrée à la cybersécurité automobile a eu lieu en Allemagne en juin, à Munich, où siège BMW. Et de l'autre côté de l'Atlantique, une proposition de loi du Sénat américain envisage de punir le piratage de véhicule par des peines de prison à vie.
Dans le cas de la Tesla Model S, le piratage a été possible après que le conducteur a effectué sur le web une recherche pour trouver une station de recharge. Depuis le navigateur, les chercheurs ont accédé au système qui interconnecte tous les équipements informatiques du véhicule, y compris ses fonctions mécaniques.
http://lexpansion.lexpress.fr/high-tech/piratage-d-une-tesla-ils-transforment-une-voiture-connectee-en-jouet-teleguide_1832943.html

2 novembre 2016 : Un chercheur a découvert comment pirater n'importe quel drone

Les drones récréatifs sont aussi populaires que difficiles à contrôler pour les forces de l'ordre, les sites industriels ou même la DGAC (Direction générale de l'aviation civile). Les choses ne risquent malheureusement pas de s'améliorer avec l'annonce par Jonathan Andersson, un chercheur en sécurité informatique travaillant chez Trend Micro, qu'ils peuvent être facilement piratés en vol.
Il a présenté le 26 octobre à la conférence PacSec 2016 un transmetteur radio qu'il a nommé Icarus. Celui-ci est capable de prendre le contrôle de n'importe quel appareil en vol en détectant puis usurpant sa connexion avec la télécommande, tant qu'elle utilise le protocole DSMx. Et celui-ci est justement très utilisé dans le monde des drones, mais aussi de tout autre type d'appareil à radiocommande (avions, hélicoptères, voitures, bateaux...). Une fois que l'attaquant a pris le contrôle, le propriétaire du drone n'y a plus du tout accès.
D'un côté, cette technologie pourrait hypothétiquement être utilisée par les autorités pour intercepter de manière sécurisée des drones présentant des risques. Icarus permet en effet d'identifier très précisément chaque appareil en fonction de la fréquence qu'il utilise. Mais de l'autre, elle pourrait tout aussi bien servir à des personnes mal intentionnées, que ce soit pour commettre des actes de délinquances contre des entreprises utilisant des drones, précipiter un appareil grand public sur des passants, voire pirater les drones qu'utilisent les forces de l'ordre...
La balle est désormais dans le camp des constructeurs, mais il n'y aura pas de solution miracle. La majorité des équipements concernés ne pourra pas être mise à jour et les sécuriser impliquerait de devoir changer à la fois l'émetteur et le récepteur.

http://www.usine-digitale.fr/article/video-un-chercheur-a-decouvert-comment-pirater-n-importe-quel-drone.N458217

Novembre 2016 : Trois minutes, c’est le temps qu’il faut pour pirater les appareils IdO

On estime que cette année peut avoir environ 6.400 millions d’appareils connectés à Internet. Ce que nous appelons IdO, ou Internet des objets, se développe à pas de géant. Mais, comme on a vu plusieurs fois, cette tendance a de nombreuses implications de sécurité car beaucoup de ces appareils intelligents ne sont pas conçus pour votre sécurité, mais pour leur fonctionnalité.
La combinaison de l’IdO, botnets et DDoS est très dangereuse. Nous avons vu un exemple de ce qui pourrait arriver, il y a quelques semaines, quand une attaque formée par des milliers de dispositifs IdO non protégés, commandé par le botnet (Mirai), a attaqué l’entreprise fournissant DNS Dyn, ne laissant pratiquement pas de connexion à Internet la côte Est américaine. Et le problème c-est que ceci est juste un échantillon de ce qui pourrait arriver. Le fabricant de solutions de sécurité ForeScout Technologies a publié son rapport « IdO Risk Report Enterprise », qui analyse les risques d’appareils connectés à Internet, et comment ils peuvent représenter un danger pour la sécurité des entreprises.

La recherche a porté sur IdO sept appareils que les entreprises utilisent normalement, comme les systèmes connectés de sécurité, les compteurs électriques, les systèmes de visioconférence, ou les imprimantes connectées. L’étude a révélé qu’en effet la plupart d’entre eux n’ont pas été fabriqués avec la sécurité intégrée. Certains ont mit une certaine sécurité, mais on pourrait la décrir comme « rudimentaire » parce qu’ils avaient firmware dangereux et obsolète.
Mais, sans doute, parmi les découverts, le plus troublant sont les conclusions auxquelles ils sont parvenus dans leur étude, puisque les sept appareils IdO analysés pourraient être piratés en seulement trois minutes. Cependant, pour les réparer il faudrait au moins des jours ou même des semaines. Le problème supplémentaire c’est que si ces dispositifs IdO sont infectés, les cybercriminels pourraient installer des backdoors (portes arrière) pour créer une attaque DDoS, comme arrivé il y a quelques semaines.
La plupart des appareils utilisés dans cette attaque massive étaient des caméras de surveillance IP, qui sont l’un des dispositifs les plus vulnérables aujourd’hui. Gartner estime que d’ici 2020 il pourrait y avoir 20.000 millions d’appareils connectés.

http://globbsecurity.fr/trois-minutes-cest-temps-quil-faut-pirater-appareils-ido-39988/

décembre 2016 : l'UFC que Choisir a publié une étude pointant les risques de piratage concernant les poupées connectées "Mon amie Cayla" et le robot connecté "i-Que".

l'étude : https://www.quechoisir.org/action-ufc-que-choisir-jouets-connectes-alerte-sur-la-securite-et-les-donnees-personnelles-n23355/

Ce sont les best-sellers de Noël mais les associations de consommateurs s'inquiètent de certaines failles : il serait possible de pirater certains jouets connectés. Des pirates peuvent aisément communiquer à distance avec certaines poupées ou robots, donc avec les enfants qui y jouent.

En se connectant par bluetooth, à l'aide d'un simple smartphone, au jouet en question, les pirates peuvent communiquer à travers la poupée. Ils peuvent ainsi récupérer des informations et parler directement avec votre enfant.
Le problème, c'est que la connexion bluetooth n'est pas sécurisée. Et même à travers un mur, il est possible de "prendre le contrôle" de ces jouets connectés.

http://www.lci.fr/societe/jt-20h-les-jouets-connectes-peuvent-ils-etre-hackes-2019261.html

décembre 2016 : bracelets connectés : Mesurer ses performances lors d’une activité physique, contrôler son poids, connaître la qualité de son sommeil…

Grâce à ce nouvel accessoire, il est possible de calculer, grâce à un capteur inséré dans le bracelet ou la montre, la distance parcourue dans la journée, de mesurer son rythme cardiaque ou la qualité de son sommeil. Il suffit ensuite de se connecter via le wifi ou le Bluetooth pour enregistrer les données sur une application qui conserve la trace des activités réalisées, intègre les résultats dans des tableaux de bord et génère des graphiques représentatifs de nos performances. Ces objets fonctionnent en général avec un smartphone ou une tablette qui sert de télécommande pour les contrôler directement, mais aussi de relais pour échanger des données avec les serveurs du fabricant. Les informations collectées sont alors consultables sur l'appareil mobile ou sur le service web de l'éditeur.

En mentionnant son nom, son âge, son courriel ou la nature des activités effectuées chaque jour, l'utilisateur d'un bracelet connecté s'expose à deux types de risques : l'utilisation commerciale et le piratage de ses données personnelles. Or, une fois piratées, ces informations, qui en disent long sur le profil et la personnalité des utilisateurs, sont susceptibles d'être vendues aux marques à des fins marketing.

http://www.leparticulier.fr/jcms/p1_1621139/bracelet-connecte-protegez-vos-donnees-personnelles

décembre 2016 : Vos objets connectés transformés en Zombies

Vous avez sans doute entendu le mot botnet plus d’une fois ces derniers temps, et ça n’a rien d’étonnant. N’importe quel appareil peut se transformer en zombie donc, faire partie d’un botnet. Aussi les PC, que les smartphones, les tablettes, les routeurs, les réfrigérateurs connectés au Wi-Fi, les jouets intelligents, et beaucoup d’autres appareils.
Un botnet est un groupe d’appareils connectés à Internet qui a été infecté par un malware spécialement conçu pour créer des bots, ou des zombies. Il fonctionne secrètement, en obtenant des droits administratifs et en donnant aux cybercriminels le contrôle de l’appareil sans dévoiler sa présence.
Le problème le plus grave c’est que l’appareil piraté fonctionne comme d’habitude, mais suit en simultané les ordres du commandant du botnet. C’est pour cela qu’ensemble, les appareils infectés forment une infrastructure puissante de plus en plus utilisée pour commettre des cybercrimes. Certains commandants de botnets se spécialisent uniquement dans l’expansion et le financement du botnet. Voici les quatre méthodes les plus communes d’utilisation d’un bonnet selon l’entreprise de sécurité russe Kaspersky.

Plus il y a d’appareils connectés sur le botnet, et plus une attaque par déni de service est puissante. La chose est telle que la plupart des appareils connectés à Internet peuvent être utilisés dans une telle attaque, y compris des dispositifs dont vous n’auriez jamais imaginé qu’ils utilisaient réellement Internet, tels que les caméras de surveillance ou les imprimantes Wi-Fi.

Aujourd’hui, le nombre d’appareils connectés s’élève à des centaines de millions, mais bientôt il y en aura des milliards. Tous ne sont pas protégés correctement, ils sont par conséquent susceptibles d’être victimes de botnets. Et les gros botnets sont capables de commettre des actes vraiment horribles.

Mais saviez-vous que les campagnes de spams sont en général diffusées à l’aide de zombies ? Les cybercriminels ont besoin de botnets pour faire trébucher les fournisseurs et les agences spéciales, en bloquant leurs e-mails et les adresses IP pour arrêter le flux de spams.Lorsqu’un ordinateur est infecté, les cybercriminels utilisent l’email de son propriétaire pour envoyer des spams. De plus, ils ajoutent des contacts provenant d’e-mails piratés à leurs propres bases de données de spams. Bien sûr, les listes de contacts ne sont pas la seule chose que les cybercriminels peuvent voler provenant des appareils piratés. Le pack de malwares qui transforme un ordinateur en bot peut avoir un certain nombre de caractéristiques supplémentaires. Parfois, ils volent des mots de passe de banques en ligne et mobiles. Certains chevaux de Troie peuvent également changer des pages web dans votre navigateur pour hameçonner vos données financières telles que votre code PIN de carte bancaire.

http://globbsecurity.fr/pouvez-proteger-vos-appareils-contre-attaques-de-botnet-40133/

6 février 2017 : Plus notre quotidien est connecté, plus il est vulnérable : tout objet connecté est propice à une intrusion.

Lors du Forum international de la cybersécurité (FIC) de Lille, les experts présents ont relevé, en 2016, une hausse exponentielle de la menace des logiciels malveillants (malwares). Ces logiciels peuvent s’introduire dans les smartphones sous forme de SMS avec un lien malveillant ou d’applications, souvent conçues pour ressembler à des jeux à succès. « Au moment de la mode Pokemon Go, on trouvait dans les magasins d’applications des applis qui s’inspiraient du jeu et étaient vérolées, c’est le cas d’autres jeux gratuits », souligne Nicolas Arpagian, directeur de la stratégie d’Orange Cyberdefense.
Une fois téléchargées, elles peuvent servir à de la fraude publicitaire ou à constituer un réseau d’objets connectés (botnet) utile aux pirates pour des attaques de déni de service (DDOS) qui bloquent des serveurs. « On a eu de grosses attaques par déni de service en 2016, avec des malwares qui ont utilisé à l’insu de leurs utilisateurs des réseaux d’objets connectés » pour démultiplier leur puissance, explique Loïc Guézo, stratégiste cybersécurité chez Trend Micro.La société Dyn, cible d’une de ces attaques massives, a indiqué que jusqu’à 100 000 objets connectés, smartphones, imprimantes, caméras de sécurité, avaient été mis à contribution pour l’attaquer en octobre.
L’année 2016 a aussi vu une épidémie de logiciels rançonneurs (ransomwares) qui empêchent l’utilisateur d’avoir accès à ses fichiers tant qu’il ne paye pas une rançon. Des télévisions connectées ont ainsi été prises en otage en Asie, et bloquées dans l’attente d’une rançon. « Tout ce qui est numérique peut être attaqué, de nombreux objets connectés ne sont pas construits avec un souci de sécurisation », avertit Gérôme Billois, du cabinet de conseil Wavestone. C’est aussi le cas des caméras installées dans les chambres d’enfants si elles ne sont pas paramétrées.

Dans le domaine de la santé, les dangers sont encore plus inquiétants.

« Le risque sur les données de santé est sous-estimé », souligne Gérôme Billois. Des vols de données de laboratoires se sont déjà produits ; leurs auteurs pourraient rendre publiques des informations privées (grossesse ou pathologies) ou perturber le fonctionnement d’hôpitaux.
Environ 14 000 patients diabétiques d’Amérique du Nord ont été alertés en octobre par le laboratoire Johnson & Johnson d’un risque de piratage d’un de ses modèles de pompe à insuline. Et un collaborateur de la société de cybersécurité Kaspersky a annoncé avoir réussi à pénétrer le système informatique de son hôpital au cours d’un test.

http://www.bienpublic.com/societe/2017/02/06/smartphones-cameras-jouets-les-cibles-des-pirates-se-multiplient

20 février 2017 : une poupée connectée ( Cayla) qualifiée de « dispositif d’espionnage dissimulé »

Après les téléviseurs connectés, qui collectent de grandes quantités de données personnelles de leurs utilisateurs, voilà que les jouets se transforment eux aussi en espions de votre vie privée.
La Bundesnetzagentur, l’agence chargée de la régulation des réseaux en Allemagne, a publié, vendredi 17 février, un communiqué dans lequel elle qualifie une poupée connectée, baptisée Cayla par ses fabricants, de « dispositif d’espionnage dissimulé ».
Car ce qui fait la spécificité de Cayla, c’est le micro qui est renfermé dans son petit corps de plastique. Celui-ci enregistre les questions des enfants, qui sont analysées grâce à un logiciel de reconnaissance vocale. Le jouet, que l’on doit connecter à une tablette ou à un smartphone avec le Bluetooth, y répond ensuite directement. Cayla sait résoudre des opérations mathématiques, donner des informations sur un pays ou une célébrité, et même raconter sa vie, qu’elle mène avec ses parents, amis et animaux fictifs.
C’est un étudiant à l’université de Sarrebruck, nommé Stefan Hessel, qui a soulevé en Allemagne la question de la sécurité d’un tel dispositif, en révélant qu’il n’y avait aucun mot de passe pour protéger la connexion. Un intrus situé à moins de 15 mètres de distance du jouet pourrait entendre les conversations à travers le micro de Cayla, mais aussi parler directement aux enfants.

Genesis Toys, le fabricant de la poupée blonde, avait déjà, par le passé, été confronté à de telles accusations. Dans une plainte déposée auprès de la commission américaine fédérale du commerce, en décembre 2016, plusieurs associations avaient qualifié Cayla de menace pour la vie privée, non seulement parce qu’elle pouvait enregistrer ce qui se disait autour d’elle, mais aussi parce que les fichiers audio en question étaient transmis à un serveur à distance sans le consentement des parents. D’autres groupements de défense des consommateurs avaient ensuite décidé, eux aussi, de poursuivre le fabricant, aux Pays-Bas, en Belgique, en Irlande, en Norvège et en France.
La poupée Cayla n’est pas la seule à susciter la controverse. Hello Barbie, une poupée connectée en Wi-Fi, commercialisée aux Etats-Unis par Mattel et ToyTalk, avait, en 2015, suscité de nombreuses inquiétudes sur sa vulnérabilité face à un potentiel piratage. Une peur matérialisée fin novembre 2015, avec le piratage des serveurs de VTech, le géant des ordinateurs pour enfants. Des données personnelles sensibles des utilisateurs et de leurs parents avaient alors été volées. Parmi elles, les courriels, archives de forums de discussions, ou photos de cinq millions de comptes.
http://www.lemonde.fr/pixels/article/2017/02/20/en-allemagne-une-poupee-connectee-qualifiee-de-dispositif-d-espionnage-dissimule_5082452_4408996.html

https://francais.rt.com/international/34150-allemagne-potentielle-cible-des-hackers-poupee-mon-amie-cayla-interdite-vente

1 mars 2017 : 800.000 peluches connectées se font voler leurs données

la société Spiral Toys qui vient d’en faire les frais avec les données personnelles de 800 000 clients. Deux millions de messages vocaux d’enfants et de parents lui ont été dérobés par des hackers peu scrupuleux. Ils ont vu la bonne occasion de faire du chantage et demander une rançon pour rendre ces données. Ces données et messages sont stockés par la société sur des serveurs qui ne sont pas suffisamment sécurisés. Les mots de passe étaient dès lors simples à pirater pour les hackers. Il convient donc de faire attention aux fabricants de ces jouets appelés les CloudPets, car certains pourraient exploiter les données personnelles et les messages (analyser les attitudes) dans un but commercial en les revendant à d’autres marques qui pourraient ainsi les démarcher via la publicité en ligne.

La plus grosse perte de données personnelles via un jouet connecté s’est faite à Hong Kong où 6,3 millions d’enfants et 4,8 millions de parents ont vu leurs données, selfies et autres volés par des pirates.

http://www.tomsguide.fr/actualite/peluches-objets-connectes-jouets-piratage,55935.html

20 mars 2018 : accident mortel sur une voiture autonome UBER

C’est une première. Une voiture autonome de la compagnie Uber a mortellement percuté une femme lundi à Tempe (Arizona), dans la banlieue de Phoenix.
Selon Uber, « le véhicule était en mode autonome lors de la collision avec un opérateur derrière le volant » lorsqu'il a heurté « une femme qui traversait en dehors des clous ». Celle-ci a été transportée à l'hôpital où elle est décédée, a précisé Uber dans un communiqué.
Conséquence de cet accident mortel, Uber a annoncé ce lundi qu’il suspendait l’expérience de ses véhicules autonomes en cours à Pittsburgh, San Francisco, Phoenix et Toronto (Canada).

Le décès déploré en Arizona est le premier causé par une voiture-taxi autonome. Cet accident devrait venir renforcer les interrogations quant à la sécurité des voitures autonomes, d'autant que l'événement de lundi n'est pas le premier accident mortel impliquant un véhicule ayant des fonctions de ce type. En juin 2016, le conducteur d’une Tesla en mode auto-pilote était mort en Floride. Il conduisait une berline Model S de Tesla équipé d'Autopilot, un logiciel qui permet un certain nombre de manoeuvres sans l'intervention du conducteur. Le régulateur des transports, le NTSB, avait estimé que le système était en partie responsable de l'accident et n'aurait pas dû être utilisé sur la route où était survenu l'accident parce que celle-ci n'était pas adaptée à cette technologie.

Paradoxe, les défenseurs de la conduite autonome estiment que cette technologie peut diminuer le nombre d'accidents, précisément parce que les machines seraient plus fiables qu'un humain.

http://www.leparisien.fr/faits-divers/une-voiture-autonome-uber-tue-un-pieton-aux-etats-unis-19-03-2018-7617645.php

menu général perdu?

web compteur