Dans quelques années, les voitures intelligentes se seront démocratisées et elles nous conduiront où nous le souhaiterons en toute autonomie. Nous n’en sommes pas encore là, mais il est déjà possible aujourd’hui de contrôler la totalité de son habitat grâce à la domotique. Le chauffage, la lumière, le verrouillage ou encore la vidéosurveillance sont autant d’éléments désormais connectés que l’on peut gérer à distance depuis son téléphone portable, via une application mobile dédiée.
Sur les boutiques officielles, des centaines d’applications permettant la gestion d’objets connectés sont disponibles. Une fois installées, ces applis agissent sur l’environnement de leurs utilisateurs et accèdent à des informations privées les concernant: vidéos, photos, géolocalisation, etc. Mais à quel point sont-elles protégées en cas d’attaque ? Comment sécurisent-elles les informations qu’elles manipulent ?
Le laboratoire de recherche de Pradeo s’est penché sur la question en analysant un échantillon représentatif de 100 applications mobiles IoT (thermostat, stores électriques, télécommande, caméra de surveillance pour bébé…) disponibles sur Google Play et App store. Voici les principaux résultats de cette étude.
15% des applications sont vulnérables à la prise de contrôle
80% des applis testées comportent des vulnérabilités, avec une moyenne de 15 par application. De plus, 15% d’entre elles sont vulnérables aux attaques de type Man-in-the-Middle, particulièrement critique dans le domaine de l’IoT puisque cela peut entrainer la prise de contrôle d’un objet connecté par un cybercriminel.
8% des applications se connectent à des réseaux non certifiés
Les applications mobiles des boutiques officielles comportent rarement des malwares mais elles ne sont pas saines pour autant. En moyenne, les applications IoT analysées par le Lab de Pradeo envoient les données qu’elles manipulent vers 17 serveurs distincts et 8% d’entre elles les divulguent à des serveurs non certifiés. Parmi ces derniers, certains font référence à des domaines qui ont expiré et sont par conséquent disponibles à la vente. Quiconque les rachetant pourrait alors avoir accès à toutes les données qui leurs sont destinées.
90% des applications envoient les données qu’elles manipulent
La majorité des applications analysées envoient des informations vers le réseau. Voici les données divulguées classées par pourcentage d’applications :
- Fichiers de l’application : 81% des applications
- Information sur le matériel (Nom commercial du produit, état de la batterie…) : 73%
- Informations sur le périphérique (Version de l’OS…) : 73%
- Fichiers temporaires : 38%
- Informations sur la connexion téléphonique (opérateur, code pays…) : 27%
- Enregistrements audio et vidéo : 19%
- Fichiers issus des données statiques de l'application : 19%
- Informations de géolocalisation : 12%
- Informations sur le réseau (adresse IP, état de connexion Wifi): 12%
- Identifiant du terminal (IMEI…) : 8%
Nous avons pris contact avec les entreprises concernées par ces résultats afin de les avertir des problèmes de sécurité auxquelles elles sont exposées.
Découvrez Pradeo Security, le moteur d'analyse comportementale qui a permis cette analyse.
