Le réfrigérateur intelligent de Samsung vient juste d'être acheté. Qu'en est-il du reste de votre maison intelligente?
3599 $, c'est beaucoup d'argent.
Cela pourrait vous procurer une voiture d'occasion décente ou un iMac relativement trompé. Vous pouvez acheter 3599 burgers McChicken ou 2589 McDoubles. Ou il pourrait vous obtenir le Samsung RF28HMELBSR.
Ce frigo (nommé Snappily) a tout. Il a quatre portes, un colossal de 28 pieds cubes d'espace, et un intégré, 8” Écran tactile LCD compatible WiFi qui vous permet de tout faire, de la lecture des actualités à la commande à distance de votre smartphone Android..
Si cela vous semble familier, c'est parce qu'il figurait jadis dans ma liste des produits les plus stupides jamais conçus pour la maison intelligente Tweet Réfrigérateurs et cuiseurs de riz contrôlés par le Web: 9 des plus stupéfiants appareils ménagers intelligents Réfrigérateurs de tweeting et cuiseurs de riz commandés en ligne: 9 des plus stupides foyers intelligents Appareils ménagers Il existe de nombreux appareils intelligents pour la maison dignes de votre temps et de votre argent. mais il y a aussi des genres qui ne devraient jamais voir la lumière du jour. Voici 9 des pires. Lire la suite . Et ai-je mentionné qu'il est livré avec une vulnérabilité de sécurité énorme et béante?
Réfrigérateur intelligent, erreur stupide
Oui, malgré toute sa sophistication, ce réfrigérateur est livré avec une faille de sécurité importante qui pourrait permettre à un attaquant de récupérer subrepticement des informations d'identification de connexion Gmail..
La vulnérabilité a été signalée pour la première fois dans The Register le 24 août et a été découverte par la société d’informations britannique Pen Test Parters alors qu’elle participait à un défi de piratage de l’Internet des objets (IoT) lors de la récente conférence Defcon 23..
L'écran tactile intégré à ce réfrigérateur permet à l'utilisateur d'accéder à son propre agenda Google. Les connexions vers et depuis les serveurs de Google sont cryptées à l'aide du cryptage SSL. Qu'est-ce qu'un certificat SSL et en avez-vous besoin d'un? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. En savoir plus, mais la mise en œuvre de SSL par Samsung ne vérifie pas la validité des certificats.
Cela pose un grave problème de sécurité, car tout le monde sur le réseau pourrait lancer un “L'homme au milieu” Qu'est-ce qu'une attaque d'homme au milieu? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. Lire plus attaque et intercepter les informations de connexion de l'utilisateur en transit. Un attaquant pourrait également les obtenir en usurpant un point d'accès ou par le biais d'une attaque de désauthentification sans fil..
Samsung a dit qu'ils sont “enquêter sur cette affaire le plus rapidement possible”, et travaillent vraisemblablement à fond pour émettre un correctif. Mais cet épisode présente une démonstration intéressante de l’influence de la sécurité sur l’Internet des objets..
(In) Security Dans un monde de choses en réseau
Dans le passé, nous avons beaucoup parlé des risques liés à l’Internet des objets, qu’ils soient liés au respect de la vie privée Pourquoi l’Internet des objets est-il le plus grand cauchemar en matière de sécurité? Pourquoi l’Internet des objets est-il le plus grand cauchemar en matière de sécurité Un jour, vous arrivez chez vous travaillez pour découvrir que votre système de sécurité domestique basé sur le cloud a été violé. Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pouvez le découvrir à la dure. En savoir plus et d'un point de vue sociologique et de la sécurité 7 raisons pour lesquelles l'internet des objets devrait vous effrayer 7 raisons pour lesquelles l'internet des objets doit vous effrayer Les avantages potentiels de l'internet des objets s'illuminent, tandis que les dangers sont projetés dans l'ombre. Il est temps d'attirer l'attention sur ces dangers avec sept promesses terrifiantes de l'IdO. Lire la suite . Il est difficile de les résoudre car, en ce qui concerne la sécurisation de l’Internet des objets, nous rencontrons quelques problèmes..
Premièrement, ces appareils ne sont ni des ordinateurs ni des téléphones, car ils sont uniformément faciles à mettre à jour (Windows 10 installera même les mises à jour pour vous. Comment désactiver les mises à jour automatiques des applications dans Windows 10 Comment désactiver les mises à jour automatiques des applications dans Windows 10 La désactivation des mises à jour du système n’est pas conseillée, mais si besoin est, voici comment procéder sous Windows 10. En savoir plus), et les fournisseurs qui les sous-tendent sont impliqués et publient régulièrement des mises à jour logicielles et de sécurité. De nombreux produits pour la maison intelligente ne “mettre à jour” par voie hertzienne, vous obligeant à utiliser des progiciels compliqués ou non fiables, un stockage amovible, ou tout simplement vous interdisant de mettre à jour le micrologiciel.
Comment, par exemple, mettez-vous à jour une cafetière interconnectée ou un thermostat informatisé? Il n'y a pas de moyen facile et universel de le faire.
Il est également important de prendre en compte le fait que bon nombre de ces dispositifs sont désormais construits par des personnes ordinaires dans leurs propres maisons. Arduino et Raspberry Pi nous ont permis d’introduire la connectivité réseau et la logique informatique dans des endroits que nous n'aurions jamais cru possibles, alors que des produits tels que Microsoft Windows 10 pour IoT Windows 10 - Venir à un Arduino près de chez vous? Windows 10 - Venir à un Arduino près de chez vous? Read More a facilité l’exposition de ces appareils à l’Internet au sens large, ouvrant simultanément un monde d’opportunités et de risques..
Alors que de nombreux développeurs chevronnés savent comment construire ces dispositifs de manière sécurisée, beaucoup trop de développeurs débutants ou amateurs ne le font pas..
Nous passons ensuite au problème de la longévité. Encore une fois, ce problème est particulièrement endémique dans le monde de la maison intelligente. Bien que votre ordinateur et votre téléphone utilisent des logiciels conçus par des entreprises ayant une longue histoire et des poches profondes, la plupart de vos appareils Smart Home n’ont.
La grande majorité de ces entreprises sont des jeunes entreprises en phase de démarrage, dont beaucoup en sont à un stade préliminaire de leur développement. S'ils ferment, qu'advient-il des produits qu'ils ont déjà expédiés? Qui écrira les mises à jour logicielles et les correctifs de sécurité?
Comme nous l'avons écrit dans le passé, les démarrages matériels sont difficiles Pourquoi les démarrages matériels sont difficiles: donner vie à ErgoDox Pourquoi les démarrages matériels sont difficiles: donner vie à ErgoDox Voici un avis controversé: le lancement d'un logiciel de démarrage est simple. Le matériel, d'autre part? Les démarrages matériels sont difficiles. Vraiment dur. Lire la suite . Déjà cette année, nous avons assisté à des licenciements importants chez Leeo et Wink, deux des plus grandes startups Smart Home. Beaucoup d'autres - comme Lumos - n'ont pas réussi à décoller complètement.
Mais peut-être que la menace la plus importante et la plus durable à la sécurité de la maison intelligente et de l’Internet des objets est tout simplement que ces appareils sont conçus pour durer plus longtemps que ne le souhaiteraient leurs fabricants. Les systèmes intégrés et les produits Smart Home peuvent fonctionner sans problème pendant des années et des années. Beaucoup d'entre eux ne fonctionnent pas sur un service d'abonnement.
Doit-on s'attendre à ce que Nest et Philips offrent des mises à jour aussi longtemps que Microsoft prend en charge Windows XP? Qu'est-ce que Windows XPocalypse signifie pour vous? Qu'est-ce que Windows XPocalypse signifie pour vous? Microsoft supprimera la prise en charge de Windows XP en avril 2014. les entreprises et les consommateurs. Voici ce que vous devriez savoir si vous utilisez toujours Windows XP. Lire la suite ?
Hors du réseau local, dans le feu
Ces problèmes de sécurité sont considérablement exacerbés par le fait que bon nombre de ces appareils sont connectés à Internet plus large et accessibles à distance, introduisant ainsi une multitude de problèmes de sécurité..
Parce que lorsque vous connectez quelque chose à Internet, vous introduisez un nouveau vecteur d’attaque à celui qui est aussi motivé. Au lieu de devoir vous connecter à votre réseau domestique, quelqu'un pourrait simplement le compromettre à distance.
C'est plus facile que vous ne le pensez aussi. Il existe même un moteur de recherche pour les systèmes embarqués, appelé Shodan. En quelques touches seulement, vous pouvez trouver des systèmes exposés à Internet dans le monde entier, des centrales électriques au Japon aux webcams en Hollande en passant par les téléphones VoIP à New York..
Il suffit de chercher “Webcam” expose des milliers de webcams accessibles à distance. Cependant, je n’en ai consulté aucun, car c’est presque certainement parce que je violerais la loi sur l’utilisation abusive des ordinateurs de 1990. La loi sur l’utilisation abusive des ordinateurs: la loi qui criminalise le piratage informatique au Royaume-Uni. La loi sur l’utilisation abusive des ordinateurs: la loi qui criminalise le piratage au Royaume-Uni. Royaume-Uni, la Computer Misuse Act de 1990 traite des crimes de piratage. Cette législation controversée a récemment été mise à jour pour donner à l'organisation de renseignement britannique GCHQ le droit de pirater n'importe quel ordinateur. Même le tien. Lire la suite .
C'est effrayant. Nous avons commencé à utiliser Internet dans nos foyers et il est très facile de les trouver et de lancer des attaques ciblées sur eux. Nous devrions être concernés.
Alors, que peut-on faire?
Les failles de sécurité, comme celle du réfrigérateur Android de Samsung, seront toujours là. Tant qu'il est facile pour les fournisseurs d'émettre des correctifs et qu'ils soient constamment mis à jour tout au long de la durée de vie des périphériques, ce n'est pas un gros problème.
Mais il est important que nous abordions les autres problèmes. Des efforts doivent être faits pour que les développeurs de produits Smart Home et IoT sachent comment développer des systèmes sécurisés. Cela pourrait être accompli par une plus grande proximité avec la communauté de la sécurité.
Il existe un certain nombre de précédents pour cela. Le projet OWASP (Projet de sécurité des applications Web ouvertes) en est un qui vient immédiatement à l’esprit. Lancé en 2004, il a produit du matériel pédagogique disponible gratuitement qui enseigne aux développeurs comment créer des sites Web sécurisés et aux pirates comment tester correctement la sécurité des applications Web..
Il n'y a aucune raison pour que quelque chose de similaire ne soit pas créé pour le monde de la maison intelligente et pour les développeurs de l'Internet of Things.
De plus, nous devons nous assurer que les systèmes Smart Home sont mis à jour et maintenus, même si les fournisseurs se plient. Cela peut être fait en obligeant tout le monde à publier son code dans un entier de code source, où le code est publié si la société déclare faillite, ou ne parvient pas à maintenir le logiciel de manière satisfaisante..
Et en tant que consommateurs, nous devrions commencer à demander plus aux vendeurs. Nous devrions exiger que les périphériques que nous achetons soient pris en charge avec des correctifs de sécurité pour toute la durée de vie du produit. Nous devons nous attendre à ce que tous les problèmes de sécurité soient résolus rapidement et de manière décisive. Nous devrions nous attendre à ce que les fournisseurs traitent les menaces à la sécurité avec une transparence absolue. Et nous ne devrions pas fréquenter les fournisseurs qui ne parviennent pas à respecter cette norme maigre.
Ce sont des modifications relativement mineures, mais il n’ya aucune raison de penser qu’elles ne conduiraient pas à des périphériques Smart Home plus sécurisés. Mais que pensez-vous?
Si vous avez des idées ou des histoires d'horreur sur l'insécurité liée à l'Internet des objets, j'aimerais en entendre parler. Laissez-moi savoir dans les commentaires ci-dessous, et nous allons discuter.
Crédits photos: Kit d’expérimentation Arduino (Oomlout), IMG_5145 (JWalsh)
Explorer plus sur: Sécurité en ligne, Appliance intelligente.