Une perceuse dotée d’un accès Internet illustre ce que peut être une protection adéquate pour l’Internet des objets

Une perceuse avec accès Internet? Pour Mark Loveless, il s’agit d’un véritable cauchemar en matière de cybersécurité. Quand on évoque l’Internet des objets, on trouve facilement une multitude d’exemples qui renforce le scepticisme des experts.

Le chercheur de chez Duo Security pensait que les perceuses « intelligentes » étaient avant tout une astuce marketing du fabricant qui allait en fait transformer l’attrait du produit en cible pour les opposants. Mais après avoir essayé la perceuse de Milwaukee Tool, il a été agréablement surpris de voir que le « cerveau » de l’outil avait été développé de manière responsable et dans le respect de la sécurité.

« Je ne m’attendais pas à ce que la perceuse ‘intelligente’ soit sûre. Mais après les essais, j’ai retrouvé l’espoir que les appareils de l’Internet des objets de grande consommation peuvent être produits correctement » a reconnu Mark Loveless.

La perceuse dont il est question est le modèle ONE-KEY M18 Fuel 1/2″ Drill/ Driver de Milwaukee Tool et son système de gestion repose sur une plateforme baptisée One-Key. One-Key permet aux propriétaires des outils d’utiliser la technologie GPS, via une application ou un site Internet, pour localiser l’outil, de le configurer (définir par exemple le couple) ou de désactiver l’outil en cas de vol.

Après avoir soigneusement analysé l’outil, Mark Loveless fut impressionné de voir que le fabricant avait utilisé un modélisation multilatérale des menaces contre l’outil, qu’il avait choisi des bibliothèques de chiffrement fiables avec un code source ouvert et mis en place un chiffrement SSL solide. « Si les fabricants de caméra de vidéo-surveillance agissait de même, le botnet Mirai n’aurait aucune chance » a-t-il déclaré.

Mais il ajoute : « Cela ne signifie pas que tout était parfait. » Il a découvert des « vulnérabilités insignifiantes. » Une d’entre elles était le codage en dur des mots de passe dans les applications pour smartphone. Une autre faille permettait à un voleur potentiel de localiser facilement la perceuse à l’aide d’un balayage Bluetooth.

De même, les données GPS de l’emplacement de la foreuse peuvent être falsifiées de toutes pièces. « En principe, si je volais votre perceuse, je pourrais créer des données GPS qui feraient croire que c’est votre voisin qui a volé l’outil » explique le chercheur dans un exemple.

Au total, Duo Security a identifié quatre vulnérabilités, dont deux qui ont obtenu un numéro CVE unique.

La faille CVE-2017-3214 est liée au fait que « l’application ONE-KEY contient des identifiants au format base-64 qui sont indispensables à l’obtention d’un token. Le token permet de lire et d’enregistrer les informations qui se trouvent sur le site de Milwaukee Tool. »

La vulnérabilité CVE-2017-3215 indique que l’application One-Key utilise des tokens qui ont une durée de validité anormalement élevée d’un an au lieu d’une ou deux heures, et si l’outil est volé ou compromis, l’attaquant peut voler le token et l’utiliser » peut-on lire dans le rapport de DUO Security.

« Il faut signaler que nous parlons de perceuses. Mais s’il s’agissait d’une pompe à insuline, d’un stimulateur cardiaque ou d’un système d’alarme, ces vulnérabilités seraient plus graves » explique Mark Loveless.

Il conclut également que la perceuse « intelligente » de Milwaukee Tool est bien plus une exception que la règle dans le contexte de la sécurité de l’Internet des objets. « Alors que les concurrents de Milwaukee Tool essaient de rattraper leur retard, ils ont placé la barre plus haut et traitent la sécurité dans le cadre du développement et non pas comme une pensée secondaire. »

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *