En décembre dernier, le FBI a averti que l'état périlleux de la sécurité de l'IdO signifie que "les pirates peuvent utiliser un appareil innocent pour faire un drive-by virtuel de votre vie numérique". Une semaine plus tôt, ce même bureau du FBI avait mis en garde contre le danger que les téléviseurs intelligents puissent permettre "aux fabricants, aux services de streaming et même aux pirates d'ouvrir une porte dans votre maison".
Un nouveau rapport de sécurité de l'équipe de Guardicore, publié aujourd'hui, a combiné ces deux alertes du FBI, montrant à quel point il est facile d'exploiter les vulnérabilités de nos appareils quotidiens. Et ce n'est pas un risque de vol de données, c'est beaucoup plus effrayant, comme dans un thriller d'espionnage. Il s'agit d'un scénario d'attaque qui "évoque la célèbre scène de la "camionnette garée dehors" dans tous les films d'espionnage récents", explique M. Guardicore.
"Au bas de l'échelle des risques", a averti le FBI sur les téléviseurs intelligents, "ils peuvent changer de chaîne, jouer avec le volume et montrer à vos enfants des vidéos inappropriées. Dans le pire des cas, ils peuvent allumer la caméra et le microphone de la télévision de votre chambre et vous surveiller discrètement sur Internet".
Dans son rapport publié aujourd'hui, Guardicore affirme avoir prouvé qu'une télécommande de télévision standard à commande vocale peut être détournée pour servir de dispositif d'écoute secret, être accessible et attaquée à distance depuis un véhicule dans la rue. L'équipe affirme qu'elle a été capable d'attaquer à distance puis de déclencher cette écoute à sa demande, de fonctionner en continu si nécessaire - sous réserve de l'autonomie de la batterie - et de transmettre des conversations privées.
Nos maisons sont maintenant deux fois plus grandes que nos bureaux. L'écoute de ces maisons est aussi susceptible de compromettre des secrets appartenant à nos employeurs que des conversations privées ou des activités entre membres de la famille. Selon Microsoft, "la première moitié de 2020 a vu une augmentation d'environ 35% du volume total des attaques par rapport à la seconde moitié de 2019".
"Nous avons pu écouter des conversations se déroulant dans une maison à environ 65 pieds de distance (ndlr : environ 19 mètres)", affirme M. Guadicore. "L'attaque n'a pas nécessité de contact physique avec la télécommande ciblée ni d'interaction de la part de la victime... Nous pensons que cela aurait pu être amplifié en utilisant un meilleur équipement... Nous avons pu entendre une personne parler à 15 pieds de la télécommande, presque mot pour mot... nous aurions pu augmenter cette distance, aussi."
Dans ce cas, les détails sont en fait moins importants que la théorie prouvée. L'équipe de Guardicore a entrepris d'attaquer les décodeurs Comcast, en se basant sur la théorie selon laquelle cet appareil banal pourrait être exploitable. Sondant les faiblesses, l'équipe est passée à sa télécommande vocale XR11, "l'un des appareils ménagers les plus courants que l'on puisse trouver", qui, dans ce cas précis, se trouve dans quelque 18 millions de foyers américains. Guardicore l'a signalé à Comcast en avril, et a attendu jusqu'à présent que la vulnérabilité ait été corrigée et déployée, avant de la divulguer.
La combinaison d'une télécommande vocale et d'un microphone transforme un dispositif inoffensif en un véritable outil d'écoute. "Les radiofréquences permettent un contact avec la télécommande à distance", explique M. Guardicore, "ce qui donne une surface d'attaque plus grande que celle d'une télécommande, et la capacité d'enregistrement en fait une cible de grande valeur". Les télécommandes ont également leur micrologiciel flashé en direct, ce qui permet aux attaquants de disposer d'un point d'entrée facile. Cela, selon l'équipe, "aurait permis aux attaquants de le transformer en dispositif d'écoute, ce qui aurait pu envahir votre vie privée dans votre salon".
Dans des circonstances normales, la télécommande vérifie avec la box s'il y a un nouveau micrologiciel une fois toutes les 24 heures. Après avoir détourné ce processus, l'attaque intercepte ces mêmes processus de vérification du micrologiciel pour déclencher chaque attaque d'écoute à la demande. Pour rendre cela plus pratique, le micrologiciel malveillant augmente ces demandes sortantes à une fois par minute. L'interception d'une requête permet à l'attaquant de commencer à enregistrer.
Bien que les communications entre le boîtier et la télécommande soient chiffrées, elles présentaient une faiblesse, la signature, qui suffisait à l'équipe pour ouvrir une porte permettant de renvoyer un chargement de micrologiciel malveillant. "Normalement, la box répondrait à cette demande en disant qu'aucun nouveau micrologiciel n'est disponible. Cependant... nous aurions pu dire à la télécommande qu'il y a, en fait, une nouvelle image firmware disponible". Ce microprogramme a alors été soigneusement chargé. Pour éviter que la boîte à câble ne mette fin à l'attaque, l'équipe a également "trouvé un moyen de faire planter temporairement [son] logiciel".
"Rien n'est plus important que la sécurité de nos clients", déclare Comcast en réponse au rapport. "Nous avons résolu ce problème pour toutes les télécommandes vocales Xfinity X1 concernées, ce qui signifie que le problème décrit ici a été résolu et que l'attaque qui l'exploite n'est pas possible... D'après notre examen approfondi de ce problème... nous ne pensons pas que ce problème ait jamais été utilisé contre un client de Comcast... Les technologues de Comcast et de Guardicore ont confirmé que les mesures correctives de Comcast non seulement empêchent l'attaque décrite dans ce document, mais fournissent également une sécurité supplémentaire contre les futures tentatives de livraison de micrologiciels non signés à la télécommande vocale X1".
Là encore, il ne s'agit pas d'un problème spécifique (désormais résolu) de Comcast, mais d'un avertissement opportun dans la myriade de dispositifs IdO équipés de caméras et de microphones dont nous nous entourons. Nous avons maintenant vu de multiples informations concernant des haut-parleurs intelligents qui enregistrent nos conversations à des fins de formation et autres, ce qui manipule simplement ce risque. "La plupart des consommateurs ont au moins une idée des risques liés à la présence d'un babyphone connecté au WiFi ou d'un haut-parleur intelligent à commande vocale chez eux", explique M. Guardicore. Peu de gens considèrent leur télécommande de télévision comme un "appareil connecté"... Le développement récent de la communication basée sur les radiofréquences et le contrôle vocal rend cette menace réelle".
Et donc, bien que ce problème ait été résolu, vous pouvez supposer qu'il y aura d'innombrables autres vulnérabilités qui n'ont pas encore été recherchées, découvertes et divulguées. "Des capacités comme celles-ci étaient autrefois les secrets bien gardés d'acteurs sophistiqués de l'État-nation", dit l'équipe - et ils ont raison. Seule celle-ci a été exécutée avec rien de plus que de l'électronique bon marché que n'importe lequel d'entre nous pourrait acheter en ligne. Comcast a agi rapidement et a fait ce qu'il fallait - tous les vendeurs d'IdO n'auraient pas fait de même, la plupart de ces appareils ne proviennent pas de grandes entreprises américaines.
Nous avons vu tant de rapports de sécurité sur l'IdO que les utilisateurs doivent maintenant accepter les risques. Vous devez changer les mots de passe standard, vous devez mettre à jour le microprogramme automatiquement ou régulièrement lorsque ce n'est pas possible, vous devez enregistrer les appareils que vous installez et donner accès à votre WiFi domestique, ou mieux encore installer un routeur avec une application qui vous permet de voir facilement ce qui est connecté. Le FBI recommande même de faire fonctionner un réseau WiFi parallèle IoT, sans accès à vos appareils principaux - bien que cela soit plus facile à dire qu'à faire.
Tous ces risques sont désormais amplifiés par l'augmentation du travail à domicile. Comme l'a mis en garde le Financial Times la semaine dernière, "passer d'un bureau bien équipé à un poste de travail à domicile pose de nouveaux risques de cybersécurité pour les entreprises... Le réseau domestique est susceptible d'être utilisé pour des appareils professionnels aussi bien que personnels - y compris un certain nombre de gadgets intelligents - qui pourraient tous être la cible d'attaquants de logiciels malveillants".
Selon Jake Moore, le cyber-gourou d'ESET, "la croissance massive des appareils IdO placés à la maison et au bureau est l'occasion idéale de créer des revenus ou de semer le chaos parmi les utilisateurs. Les dispositifs IdO sont trop souvent dotés de fonctions de sécurité intégrées faibles (voire inexistantes), ce qui fait que le public est tenu à l'écart dès le départ. Les mises à jour de sécurité ont également tendance à être peu fréquentes, ce qui fait courir des risques supplémentaires à leur propriétaire".
Et c'est un avertissement repris par Guardicore. C'est une chose pour un attaquant d'écouter les conversations de notre famille, mais "comme nous sommes si nombreux à travailler à la maison, un dispositif d'enregistrement est un moyen crédible d'espionner les secrets commerciaux et les informations confidentielles". La prochaine fois que vous passerez un appel Zoom hautement confidentiel, réfléchissez à la valeur des informations abordées aussi ouvertement que dans un environnement de bureau sécurisé.
Chaque appareil IdO que vous achetez et que vous allumez à la maison, chaque appareil que vous ajoutez à votre réseau WiFi, augmente vos risques. Et lorsque ces appareils sont des unités IdO bon marché, provenant de sources inconnues, ces risques augmentent considérablement. Si votre téléviseur, votre télécommande, votre haut-parleur, votre réfrigérateur, votre jouet ou votre gadget est à l'écoute de mots clés ou a la capacité de transmettre de l'audio et de la vidéo, vous pouvez être certain qu'il n'agit pas de manière malveillante ou qu'il a été compromis.
"Ce qui est intéressant, c'est de voir ces "nouveaux" produits incroyablement complexes faire l'objet d'un examen minutieux", prévient Ian Thornton-Trump, directeur général adjoint de Cyjax. "Ces nouveaux dispositifs sont sûrs d'avoir des bogues exploitables à toutes les couches des systèmes d'exploitation, et dans les fonctions de haut niveau comme l'IA et les réponses pilotées par ML".
Ce rapport de sécurité fait écho à l'avertissement "drive-by hacking" - il s'agit en fait d'un drive-by physique et non virtuel, une attaque nécessitant la proximité d'un emplacement et d'un dispositif cible : "Les assistants numériques, les montres intelligentes, les appareils de fitness, les dispositifs de sécurité domestiques, les thermostats, les réfrigérateurs et même les ampoules électriques sont tous sur la liste. Ajoutez à cela toutes les choses amusantes : les robots télécommandés, les jeux et les systèmes de jeu, les poupées interactives et les animaux en peluche qui parlent... Le point commun de tous ces objets est qu'ils envoient et reçoivent des données. Mais savez-vous comment ces données sont collectées ? Et où elles vont ?
Une attaque de proximité comme celle-ci serait très ciblée. "Le risque augmente en fonction du profil de la cible", souligne Mike Thompson, commentateur de l'infosec, "comme à peu près tout le reste". Mais si vous êtes un avocat, un journaliste, un dissident, ou si vous occupez un poste important au sein d'une grande entreprise commerciale ou d'un entrepreneur du gouvernement, alors cela suffit.
Le point essentiel à retenir ici est que les chercheurs se sont concentrés sur un dispositif populaire, le sondant jusqu'à ce qu'ils en trouvent la faiblesse. L'appareil comportait tous les composants nécessaires à une tâche malveillante. Alors qu'auparavant, un tel dispositif d'écoute aurait été placé au beau milieu de la nuit par des professionnels de l'entrée clandestine, nous le faisons maintenant tout seuls. Comme l'avertit M. Moore de l'ESET, "les propriétaires d'IdO doivent comprendre les risques liés à l'installation d'un appareil audio/caméra chez eux, qui pourrait être considéré comme un mouchard de surveillance".
source :
https://www.forbes.com/sites/zakdoffman/2020/10/07/fbi-drive-by-hacking-threat-gets-real-heres-why-you-should-be-concerned/#53c1b81873d6