Actualités de la sécurité

Il est temps de renforcer la sécurité des appareils

Avast Security News Team, 26 mars 2018

La sécurité des appareils a été sous les feux de l'actualité récemment, avec notamment une proposition pour la sécurité IoT des appareils intelligents, un nouveau système d'exploitation Android davantage axé sur la sécurité et un procès contre Uber.

Les législateurs appellent à une meilleure sécurité pour les appareils intelligents

La première indication que les appareils IoT (Internet des Objets ou Objets connectés) représentaient une véritable menace pour la sécurité est survenue en octobre 2016, lorsqu'un botnet composé d'appareils tels que des caméras de sécurité infectées par le malware Mirai a attaqué Dyn, un fournisseur de services DNS, sous la forme d'une attaque DDoS  (déni de service distribué) sur les serveurs de Dyn. En lançant de multiples requêtes à chaque seconde, l'attaque a détruit des sites Web partout aux États-Unis et en Europe, car les serveurs DNS étaient surchargés de requêtes provenant de millions d'appareils infectés.

Au cours des deux dernières années, le piteux état de sécurité de nombreux dispositifs IoT est presque devenu un cliché. Le rapport sur la sécurité des appareils IoT publié par le gouvernement britannique est donc une excellente nouvelle. Il comporte une proposition de code de pratiques pour tous les appareils connectés.

Alors que les gouvernements peuvent parfois sembler incompétents en matière de technologie (qui peut oublier la déclaration du premier ministre australien Malcolm Turnbull selon laquelle les lois de l'Australie l'emportent sur les lois des mathématiques ?), le Ministère britannique de la culture, des médias et du sport semble avoir fait un travail décent en identifiant les problèmes liés aux appareils IoT et en proposant un ensemble de normes sensées.

Tout d'abord, le code demande la fin des mots de passe par défaut, qui constitue une faiblesse majeure de bon nombre de ces appareils. Comme les consommateurs ne savent souvent même pas que leur appareil n'a pas de mot de passe unique (ou qu'ils doivent toujours changer le mot de passe sur un nouvel appareil), cette directive devrait contribuer grandement à sécuriser l'Internet des objets.

Le code de pratique proposé prévoit également une politique de divulgation des vulnérabilités, qui permet plusieurs éléments :

  • Les chercheurs et d'autres personnes peuvent facilement entrer en contact pour signaler des problèmes.
  • Le logiciel est mis à jour au besoin et la fonctionnalité de l'appareil est surveillée de près.
  • Les identifiants sont stockés en toute sécurité et l'intégralité des données sont chiffrées lorsqu'elles sont envoyées via Internet.

Le code stipule également que tous les appareils et services doivent suivre le principe du moindre privilège, ce qui signifie que les utilisateurs n'ont pas plus d'accès qu'ils n'en ont besoin et qu'il faut contrôler les logiciels sur les appareils avec des mécanismes de démarrage sécurisés qui garantissent que les logiciels compromis ne se connecteront pas sans l'approbation de l'administrateur.

Le code appelle également à garantir la protection des données personnelles, que les systèmes sont résilients face aux pannes et que les utilisateurs peuvent effacer leurs données personnelles (ce qui fait également partie du futur Règlement général sur la protection des données à l'échelle de l'UE). Selon le code, l'installation et la maintenance des appareils doivent être simples, et les fournisseurs IoT doivent surveiller toutes les données de télémétrie qu'ils recueillent pour les problèmes liés à la sécurité matérielle ou logicielle. Enfin, le code exige que toute entrée de données soit validée de sorte que les systèmes ne puissent pas être compromis par des données ou des codes délibérément formatés.

Du point de vue de la sécurité, les appareils IoT ont encore un long chemin à parcourir avant d'être robustes et fiables. Des histoires telles que celle des jouets CloudPets piratés resteront longtemps dans l'esprit des professionnels de la sécurité, mais ce code de pratique est un bon début.

La confidentialité avant tout

Récemment, les regards de tous les amateurs d'Android étaient dirigés sur Google et ses plans pour la prochaine version de son système d'exploitation mobile. Le géant a en effet dévoilé la version alpha de son projet pour l'instant connu sous le nom d'Android P.

Android a longtemps été considérée comme une plateforme moins sécurisée que d'autres. Ses racines open-source et sa capacité d'ajustement forment une large surface d'attaque et offrent des contrôles de confidentialité loin d'être irréprochables, mais il est clair qu'avec cette dernière version, Google se concentre sur les fonctionnalités qui sécurisent plus efficacement le système d'exploitation.

Une nouveauté clé est le chiffrement par défaut de tout le trafic des applications sur Android P, bien que les développeurs pourront le refuser au cas par cas. Google a déclaré dans son article de blog annonçant la version alpha d'Android P : « Vous devrez maintenant établir des connexions via TLS, à moins que vous n'optiez explicitement pour un texte clair pour des domaines spécifiques. »

Un autre bon point est qu'avec cette nouvelle version, les applications ne seront pas en mesure d'accéder au microphone, à l'appareil photo ou aux capteurs de votre téléphone lorsqu'il est inactif, à moins qu'elles n'indiquent clairement qu'elles le font. Comme Google l'a expliqué aux développeurs : « Pendant que l'interface UID de votre application est inactive, le micro signale les signaux audio vides et les capteurs cessent de signaler les événements. Les caméras utilisées par votre application sont déconnectées et génèrent une erreur si l'application tente de les utiliser. »

Les sauvegardes sur le cloud de votre appareil seront également mieux protégées dans Android P. Si vous voulez restaurer la configuration de votre téléphone, vous aurez le choix entre plusieurs sauvegardes enregistrées, comme c'est le cas actuellement. Mais pour accéder à l'une de ces sauvegardes, vous devrez saisir le code de verrouillage sur votre appareil. Comme ces sauvegardes sont chiffrées, elles ne sont accessibles à personne sans votre code de verrouillage, de sorte que même Google ne pourra pas y accéder.

Votre navigation sur Internet sera elle aussi mieux protégée. En plus de forcer le trafic des applications vers HTTPS, Android P masquera votre adresse MAC, le numéro unique qui identifie votre appareil au réseau. Vous pourrez générer une adresse MAC aléatoire pour chaque réseau, ce qui compliquera considérablement la tâche des spécialistes du marketing qui cherchent à vous suivre, vous et votre téléphone.

La version alpha est disponible pour les développeurs, mais attention : il s'agit d'une version précoce qui peut ne pas être stable. Vous devrez flasher votre appareil manuellement si vous voulez la tester. Actuellement, elle n'est disponible que pour les appareils Pixel, Pixel XL, Pixel 2 et Pixel 2 XL de Google. Une version bêta plus ouverte devrait être disponible après la conférence Google I/O en mai.

Uber poursuivi pour atteinte à la protection des données

Uber a essuyé beaucoup de critiques pour son approche de la protection de la vie privée de ses chauffeurs et de ses clients, et la société a dû faire face à un autre coup à sa réputation cette semaine lorsque le procureur général de Pennsylvanie, Josh Shapiro, a déclaré qu'il poursuivait le leader des applications de VTC pour avoir omis de divulguer une faille de sécurité en temps opportun.

D'après le dossier de la poursuite, Uber a enfreint la loi sur la divulgation des infractions de l'État en omettant d'aviser 13 500 conducteurs de Pennsylvanie que leurs données personnelles figuraient parmi les données volées par les cybercriminels en octobre 2016.

On pense que la faille de sécurité a touché 57 millions d'Américains, et comme si ce n'était pas encore assez grave, Bloomberg a rapporté en novembre dernier qu'Uber a payé aux présumés escrocs une rançon de 100 000 $ pour couvrir le vol des données.

La société a gardé la faille de sécurité sous silence pendant plus d'un an, ce qui signifie, selon Josh Shapiro, qu'« Uber a violé les lois de Pennsylvanie en n'avertissant pas nos résidents en temps opportun de cette violation massive des données. »

Josh Shapiro a ajouté qu'« au lieu d'avertir les consommateurs touchés de la violation dans un délai raisonnable, Uber a caché l'incident pendant plus d'un an et a payé les pirates pour qu'ils suppriment les données et se taisent au sujet de toute l'affaire. C'est une faute professionnelle scandaleuse et je les poursuis en justice pour les tenir responsables et demander compensation au nom des habitants de la Pennsylvanie. »

Il n'existe pas de limite de temps définie pour la divulgation de la violation, mais Josh Shapiro et d'autres estiment que le fait de ne pas divulguer le piratage pendant plus d'un an et de travailler activement (selon leurs allégations) pour le dissimuler dépasse le cadre de ce qui pourrait être décrit comme « raisonnable ».

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.