Hewlett-Packard vient de publier les résultats d’une étude sur la sécurité des montres connectées. Ses conclusions sont sans appel. La totalité des dix modèles de « smartwatches » testés présentent d’importantes vulnérabilités, notamment dans les domaines de l’authentification, du chiffrement et de la confidentialité des données personnelles.


au sommaire


    L'été dernier, Hewlett-Packard jetait un pavé dans la mare en affirmant que 70 % des objets connectés les plus répandus (téléviseurs, électroménager, vêtements et accessoires, domotique...) présentaient de nombreuses vulnérabilités qui pourraient être facilement exploitées. Même s'il s'agissait d'un bon prétexte pour mettre en avant sa propre solution de sécurité « Fortify on Demand », le constat dressé par HPHP n'en était pas moins inquiétant alors que l'on parle de 4,9 milliards d'objets connectés en circulation en 2015 (d'après Gartner). Cette année, le géant nord-américain s'est penché plus spécifiquement sur les montres connectées (en anglais smartwatches), en évaluant le niveau de sécurité des dix modèles les plus populaires. Et le résultat est là encore peu rassurant...

    Dans son rapport intitulé Internet of Things Security Study : Smartwatches, HP affirme que 100 % des montres testées présentent d'importantes vulnérabilités en matièrematière d'authentification, d'autorisation d'accès et au niveau des connexions aux interfaces cloud et mobiles. « Alors que l'adoption des montres connectées s'accélère, la plateforme va devenir nettement plus attractive pour ceux qui voudraient en abuser, ce qui nous impose de prendre des précautions lorsque nous transmettons des données personnelles ou que nous connectons des smartwatches à un réseau d'entreprise », commente Jason Schmitt, directeur général de HP Fortify.

    Pour son étude, HP dit avoir testé dix modèles de montres connectées sous Android et iOS dont il ne livre pas les marques. On peut donc en déduire que l’Apple Watch fait partie de ce banc d’essai mais on ignore où se situe son niveau de sécurité. © Apple
    Pour son étude, HP dit avoir testé dix modèles de montres connectées sous Android et iOS dont il ne livre pas les marques. On peut donc en déduire que l’Apple Watch fait partie de ce banc d’essai mais on ignore où se situe son niveau de sécurité. © Apple

    Cinq domaines qui laissent à désirer

    Avec l'arrivée de l'Apple Watch et les nombreux modèles sous AndroidAndroid proposés par de grandes marques telles que SamsungSamsung, Sony ou Motorola, ce marché est en plein essor. Ces accessoires qui, dans la majorité des cas, doivent être associés à un smartphone, promettent de populariser de nouveaux usages, en particulier dans le suivi des fonctions vitales, des activités sportives et du paiement mobile. Autrement dit, ces montres sont dépositaires de données très sensibles qu'elles transmettent à des tiers via diverses applicationsapplications. On pourrait donc imaginer que le niveau de sécurité de ces appareils communicants réponde à des critères très élevés. Ce n'est visiblement pas le cas et HP a identifié cinq domaines qui laissent à désirer :

    • Identification utilisateur insuffisante. Les dix montres évaluées étaient toutes connectées à une interface mobile qui ne requiert pas d'authentification forte à deux facteurs et ne prévoit pas de blocage du compte après 3 à 5 saisies de mot de passe erroné. Par ailleurs, trois de ces montres n'exigeaient pas des mots de passe suffisamment longs et complexes. HP pointe également le manque de sécurité des procédures de récupération d'un mot de passe oublié. Tout ceci combiné pourrait faciliter le travail d'un cyberpirate.
    • Faiblesse du chiffrement dans le transport des données. Ces montres transmettent beaucoup d'informations, vers le smartphone auquel elles sont associées ainsi qu'à des applications mobiles qui les relaient à des services en ligne. Si toutes les montres testées ont bien recours à un chiffrement type SSLSSL/TLS, 40 % des connexions au cloud se font en SSL 3.0. Or, en octobre dernier, GoogleGoogle a révélé que ce protocoleprotocole présente une grave faille de sécurité permettant l'attaque dite Poodle (Padding OracleOracle On Downgraded Legacy Encryption) qui permet de déchiffrer les données échangées.
    • Des interfaces mal sécurisées. Sur les 30 % de montres employant une interface Web, la totalité pratiquait une énumération des comptes utilisateur. Ceci signifie qu'un pirate pourrait facilement obtenir des identifiants et se procurer leur sésame en utilisant simplement les services de récupération des mots de passe.
    • Des mises à jour de firmwarefirmware non sécurisées. Selon HP, 70 % des montres testées présentaient des défauts dans la protection de la mise à jour des microgiciels (firmware), parce que la transmission ou le fichier lui-même n'étaient pas chiffrés. Le risque principal concerne le fait que ces données pourraient être interceptées à des fins d'analyse.
    • La confidentialitéconfidentialité des données personnelles potentiellement exposée. Les montres ont vocation à recueillir beaucoup de données sensibles : nom, adresse, date de naissance, poids, âge, sexe, rythme cardiaque, cycle de sommeilsommeil, etc. Et pourtant, seulement la moitié des dix modèles permettent d'activer un verrouillage de l'écran par code PIN ou geste tactile. Pire, deux de ces montres ont même pu être associées à un autre smartphone sans avoir à être d'abord dissociées du mobile d'origine. Un voleur pourrait donc facilement récupérer les données d'une montre qu'il aurait subtilisée.

    « Notre étude démontre que ces montres connectées présentent un risque qui va au-delà de l'appareil lui-même. Le grand nombre de destinations vers lesquels les données sont envoyées durant l'usage courant d'une application augmente le nombre de points d'accès potentiels », souligne le rapport de HP. Le document ne fait aucune mention concernant les modèles et les marques des dix montres testées. Mais la référence à Android et iOSiOS laisse penser que les produits les plus populaires du moment, à commencer par l'AppleApple Watch, font partie de la sélection. Mais on ne saura pas lesquels de ces fabricants auraient particulièrement intérêt à se préoccuper des révélations de HP...

    Le document se conclut par une série de recommandations à l'intention des utilisateurs :

    • éviter d'activer des fonctions d'accès sensibles comme par exemple l'ouverture de la porteporte d'entrée de son domicile ou le déverrouillage de sa voiturevoiture, à moins qu'une authentification forte ne soit possible ;
    • activer tous les systèmes de sécurité disponibles ;
    • définir des mots de passe complexes et inédits ;
    • rejeter toute requêterequête d'association de la montre avec un terminal inconnu.

    Aux entreprises souhaitant travailler avec des montres connectées, HP recommande le recours au chiffrement TLS, l'emploi de mots de passe fortsmots de passe forts et la mise en place de mesures pour empêcher les attaques de type « homme du milieu ».