IoT: problèmes de sécurité de la maison intelligente

Une maison intelligente comprend un grand nombre d'appareils IoT qui collectent et traitent des données. Ils donnent aux utilisateurs certaines opportunités de contrôler les appartements en mode manuel et automatique. Dans un environnement intelligent, les appareils échangent périodiquement des données sur le réseau. Cela se produit soit directement d'un appareil à l'autre, soit via le cloud.

Du fait que tous les éléments de la chaîne ont accès à Internet, cela les rend vulnérables aux attaques externes et met en danger non seulement les informations de l'utilisateur, mais aussi sa santé. Tout cela change le paradigme de la pensée, qui se lit comme suit: "Ma maison est un îlot de sécurité".
Cependant, la sécurité est une exigence à 100% pour une maison intelligente, peu importe ce qu'ils disent. Aujourd'hui, il peut comprendre des systèmes de surveillance, des systèmes de surveillance (y compris la santé) et des systèmes de sécurité, accessibles à distance. Ils ont juste besoin d'être protégés contre les intrus.

La responsabilité de cela devrait être assumée par les fabricants de ces mêmes gadgets. Cependant, ils affirment souvent qu'il est inutile de traiter de telles questions.



Il ne peut être exclu qu'avec l'augmentation du nombre d'appareils intelligents, le nombre de systèmes de contrôle du piratage commencera à augmenter. Les attaquants qui ont accès à ces systèmes peuvent utiliser une clé électronique pour ouvrir une porte ou une fenêtre et accéder aux comptes bancaires des résidents d'une maison intelligente. De plus, les criminels pourront provoquer manuellement la défaillance des dispositifs médicaux.

HP a mené une étude de marché des systèmes intelligents, au cours de laquelle il a découvert que presque tous les systèmes ont des problèmes de sécurité.

Le premier problème est l'authentification insuffisante. Les systèmes, malgré leurs interfaces cloud et mobiles, ne nécessitaient pas de définir des mots de passe d'une longueur et d'une complexité suffisantes. De plus, aucun des systèmes n'a bloqué le compte après un certain nombre de tentatives infructueuses pour entrer un mot de passe - il s'avère qu'il n'y avait pas de protection banale contre la force brute.

Un autre problème était lié à la confidentialité. Tous les systèmes ont collecté tout type d'informations personnelles: noms, adresses, numéros de téléphone et cartes de crédit. C'est un sujet de préoccupation, car cela crée un risque de vol d'identité.

Il convient également de noter qu'une caractéristique clé de nombreux systèmes de sécurité domestique est l'utilisation de la vidéo, qui peut être visualisée via différentes interfaces. La confidentialité de ces données est également en cause.

Enfin, les experts ont appelé le dernier problème le manque de cryptage lors du transfert de données. Bien que tous les systèmes disposent de mécanismes de chiffrement au niveau du transport tels que SSL / TLS, de nombreuses connexions cloud restent vulnérables aux attaques.

Et c'est un point très important: pour éviter toute interférence non autorisée avec le fonctionnement de l'appareil, l'échange entre le contrôleur et le serveur doit être crypté à l'aide de la clé. «Dans le cas des systèmes informatiques, la transmission de données pour l'authentification sous forme claire a longtemps été un non-sens. Mais, il s'est avéré, pas pour d'autres industries, »-explique Denis Legezo, expert en antivirus de Kaspersky Lab.

Selon l'avis du directeur général adjoint Zecurion Alexander Kovalev, des problèmes de sécurité Internet les choses sont le développement trop rapide du marché et des technologies d'adaptation souvent sans supervision: « Les utilisateurs ne comprennent pas toutes les fonctionnalités de ces appareils, et fournisseurs tout engagés dans le développement de la technologie elle - même, et ne donnent pas de valeur de sécurité suffisante » .

Et c'est normal, les virus informatiques ne sont pas apparus non plus immédiatement. «Tant que ces vulnérabilités n'auront pas été utilisées par des attaquants, ni les utilisateurs ni les fabricants ne dépenseront temps et argent pour protéger les appareils IoT», a déclaré Kovalev.

Selon Denis Legeso, cela est dû au fait que l'attitude envers les choses intelligentes reste la même. Autrement dit, comme s'il s'agissait d'objets ordinaires auxquels tout le monde est habitué, et peu importe qu'il s'agisse d'une voiture ou d'une télévision.

«Mais c'est un autre appareil qui peut non seulement déplacer ou diffuser des programmes de télévision. En conséquence, il faut y penser différemment et se protéger d'une nouvelle manière », note l'expert.

Selon lui, il suffit de détourner l'attention de la fonction principale de la technologie et de commencer à la percevoir comme un réseau informatique pour constater des lacunes dans la sécurité de l'information.



En posant ces questions, Google, Samsung Electronics, Silicon Labs et plusieurs autres se sont associés pour développer une nouvelle norme de réseau sans fil spécifiquement pour les maisons intelligentes. Il s'appelle Thread. Thread utilise IPv6 et est construit sur la norme IEEE 802.15.4, et son principal avantage est la sécurité. Dans le même temps, le réseau peut contenir jusqu'à 250 appareils protégés par cryptage au niveau du système bancaire.

Une autre caractéristique de Thread est la transparence. L'utilisateur voit une liste de tous les appareils connectés, grâce à laquelle il lui est facile de déterminer ce qui est connecté. Actuellement, il existe un certain nombre de solutions pour les maisons intelligentes (ZigBee et 6LowPAN) qui peuvent facilement commencer à prendre en charge la norme proposée sans modifications matérielles - dans leur cas, il vous suffit de mettre à jour le logiciel.
Parmi les appareils qui prennent déjà en charge Thread, il convient de noter les thermostats Nest.

«D'année en année, nous entendons qu'à la fin, il n'y aura qu'un seul protocole qui sera utilisé partout», expliqueReza Kazemi, expert en politique produit chez Piper. - Mais à chaque fois un nombre croissant de produits apparaissant sur le marché qui communiquent dans leur propre «langue». Mais qui sait, peut-être que Thread deviendra cette «solution miracle» qui résoudra tous les problèmes décrits ci-dessus.

Source: https://habr.com/ru/post/fr394343/