AccueilPortail abcS'enregistrerConnexion
>>>>> Bienvenue Invité <<<<<
>>>>> Merci de lire les règles du forum avant toute inscription <<<<<

Partagez | 
 

 Espionner les objets connectés

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Invité
Invité
avatar


MessageSujet: Espionner les objets connectés   Mer 27 Mai - 18:15

Dans la plupart des cas, les mécanismes de sécurité proposés par le protocole Bluetooth Low Energy ne sont pas bien implémentés.
Voir pas du tout.










De plus en plus d’objets connectés utilisent le protocole Bluetooth Low Energy (BLE) pour transmettre des données ou se connecter : smartphones, bracelets fitness, montres connectées, iBeacons, gadgets en tout genre... Mais de plus en plus d’études montrent aussi que ces flux de données sont loin d’être sécurisés et permettent de capter des données personnelles.
Les chercheurs en sécurité de Context Information Security se sont récemment penchés sur la question et ont développé une >>>application Android qui permet de scanner les objets connectés à une centaine de mètres autour de soi. Mieux : il est souvent possible d’identifier ces objets de manière unique. Grâce à une base de données, on peut donc créer des rapports d’activité dans le temps. Parfois, il est même possible de savoir quel est le type d’appareil en question. Un peu de corrélation suffit alors pour, par exemple, détecter la présence de votre patron, de votre femme, de votre voisin, etc.



L'application Ramble de Context Information Security.





Comment est-ce possible ?
Tous ces objets émettent en permanence des paquets intégrant une adresse MAC pour signaler leur présence et inviter à se connecter. Pour éviter la surveillance, le protocole BLE a été doté d’un mécanisme baptisé « LE Pricacy » qui change de manière aléatoire l’adresse qui est broadcastée. Malheureusement, les chercheurs constatent que cette fonction est mal implémentée : pour la plupart des objets testés, l’adresse reste fixe. C’est par exemple le cas du bracelet FitBit. Dans d’autres cas, c’est pire : les adresses des fabricants Nike ou MI, par exemple, commencent toutes de la même manière. Pratique pour identifier les appareils.

Des fabricants, visiblement peu motivés par la sécurité

D’autres encore n’ont aucune stratégie en matière de protection des données personnelles et intègrent aux paquets de présence des informations spécifiques : le nom du constructeur, le modèle d’appareil, un identifiant unique, etc. Exemple : « Garmin Vivosmart#12345678 », « Galaxy Gear 1234 », « La montre de Trucmuche », etc. Ce qui, évidemment, annule totalement l’avantage que pourrait donner le mécanisme « LE Privacy ». A ce niveau-là, c’est donc un choix délibéré. Visiblement, les fabricants sont plus intéressés à sortir leurs produits le plus rapidement possible que de s’attarder avec des questions de sécurité.
L’étude de Context n’est qu’une parmi d’autres. En 2014, Symantec avait déjà alerté le public sur le manque de sécurité des accessoires connectés. En janvier, le chercheur italien Simone Margaritelli a découvert une vulnérabilité dans le processus d’authentification du >>>Nike Fuel Band permettant, dans certaines conditions, à n’importe qui de s’y connecter pour siphonner les données.
En matière de sécurité, les fabricants d’objets connectés ont donc encore du chemin à faire.
Revenir en haut Aller en bas
 
Espionner les objets connectés
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
l'abc du pc  :: Internet :: Les infos du net-
Sauter vers: