Une analyse sur 16 millions de foyers dans le monde révèle que de nombreux utilisateurs ne changent pas les mots de passe qui ont été fournis avec leurs appareils.
Des chercheurs d’Avast et de l’Université de Stanford ont mené la plus grande étude (en anglais) qui existe sur les objets connectés dans les foyers. L’émergence de l’Internet des Objets (IoT) est à la fois surprenante et inquiétante, puisque l’étude révèle que de nombreux appareils ne sont protégés que par des mots de passe très faibles.
L'étude fournit la première analyse empirique à grande échelle d'appareils connectés en se basant sur un réseau de 83 millions d'appareils dans 16 millions de foyers situés dans le monde entier.
Les résultats seront publiés dans le journal All things considered, sous le titre « An Analysis of IoT Devices on Home Networks » (Analyse des objets connectés dans les foyers), qui sera disponible cette semaine à la conférence USENIX Security. Les chercheurs d’Avast ont analysé les appareils afin de comprendre leur répartition par type et par fabricant et d’identifier les différents profils de sécurité. Les résultats ont été validés et analysés en collaboration avec les chercheurs de Stanford.
Des soupçons qui se confirment
Les chercheurs ont déclaré qu'il était essentiel que la communauté de la sécurité comprenne les différents types d’appareils connectés et leurs distributions régionales respectives, étant donné leur implication croissante en matière de sécurité et de confidentialité. Les nouvelles données fournissent des preuves concrètes de tendances précédemment suspectées mais non prouvées.
« La communauté de la sécurité a longtemps évoqué les problèmes de sécurité associés à l’émergence des appareils connectés. Malheureusement, ces appareils se sont longtemps cachés derrière des routeurs domestiques et nous ne disposions pas de données à grande échelle sur les types d’appareils réellement déployés dans les foyers. Ces données nous aident à mieux comprendre l'émergence des objets connectés et les types de problèmes de sécurité qu’ils peuvent poser », a déclaré Zakir Durumeric, professeur à l'Université de Stanford.
Le document quantifie la prévalence et la distribution des appareils connectés ainsi que de leurs fournisseurs. En outre, l'analyse examine les différences entre les appareils et les fournisseurs populaires parmi les différentes régions géographiques. Par exemple, les appareils média sont populaires dans le monde entier, mais un peu moins en Asie et en Afrique. Ou encore, l'Asie du Sud est plus équipée en dispositifs de surveillance (tels que des caméras) que dans d'autres régions.
Bien qu’il existe des milliers de fabricants d’objets connectés dans le monde, 100 fournisseurs représentent plus de 90 % du marché et 400 fournisseurs, 99 %. D’autre part, certains types d'appareils sont presque entièrement dominés par un ou deux fournisseurs. Par exemple, Amazon et Google produisent 92 % des assistants vocaux.
Sur le plan de la sécurité, les recherches d’Avast révèlent une tendance inquiétante. Les appareils connectés utilisent largement les protocoles FTP et Telnet. Avast a découvert que plus de 8 % des appareils connectés utilisent ces protocoles, et que parmi ceux-ci, un plus grand pourcentage a des informations d'identification faibles. Ce pourcentage peut paraître anodin mais 8 % de 7 milliards d'appareils connectés dans le monde, cela fait 560 millions d'appareils utilisant des protocoles plus anciens.
« Ce sont d’anciens protocoles qui sont faciles et pratiques, mais chargés de problèmes de sécurité. Ils n’ont tout simplement pas été conçus pour être sécurisés. Leur utilisation généralisée donne un aperçu de l'état de sécurité déplorable de ces appareils. Couplés à de faibles identifiants, ces appareils sont des cibles faciles pour les malwares tels que Mirai, sans oublier que de telles vulnérabilités sur les routeurs domestiques mettent toute la maison en danger », explique Deepali Garg, Data Scientist chez Avast.
Méthodologie de la recherche
Cette étude a tenu compte de plusieurs considérations d’éthique liées aux données. L’analyseur de foyers d’Avast n’a collecté les données que des utilisateurs qui, lors du processus d’installation, ont explicitement accepté de partager leurs données à des fins de recherche. Toutes les données utilisées pour cette étude ont été obtenues à partir d'analyses initiées par les utilisateurs. Ces derniers ont été informés des vulnérabilités découvertes sur leurs réseaux. De plus, Avast n'a partagé aucune donnée d'utilisateur directement avec ses collaborateurs.
Selon les chercheurs, l'envergure de l'étude et la vision globale qu’elle donne de l’Internet des Objets vise à aider l’ensemble du secteur de la cybersécurité à relever des défis toujours plus nombreux : « Nous espérons que notre analyse aidera la communauté de la sécurité à se concentrer sur le développement de solutions applicables aux appareils et aux foyers connectés. »
