Une étude commanditée par HP et portant sur la sécurité des « montres intelligentes » laisse un petit goût amer qui rappelle fortement les débuts du Web : croissance débridée, sécurité illusoire. Et pourtant, cette étude utilise comme socle de référence ce que l’on pourrait appeler le « minimum minimorum » des règles à respecter, celle de l’Owasp IoT.
Et les reproches sont nombreux :
– mécanismes d’authentification et d’identification insuffisants. 30 % des appareils sont vulnérables à des attaques en « moissonnage de compte », beaucoup d’entre eux offrant une faible politique de mots de passe, pas ou peu de système de limitation du nombre de tentatives d’entrées, pas ou peu de mesures de protection du login.
– absence fréquence de chiffrement des données transmises. Le sujet a été abordé de nombreuses fois, notamment par Axelle Apvrille à l’occasion de Hack in Paris.
– Interfaces dénuées de procédures de sécurité, détail fâcheux lorsque l’on sait que la majorité de ces appareils utilisent des interfaces Web dans le cloud
– Logiciels et firmwares peu fiables, qu’il s’agisse des méthodes de mise à niveau desdits logiciels, ou des processus de validation et de conformité de l’écriture du code.
– Fréquente absence de mécanismes de protection des données privées contenues dans lesdites montres. Cela va de l’identité de l’usager à l’accès à ses données (emails, appels téléphoniques, annuaires) auxquels la montre intelligente peut accéder. Ces manquements élémentaires aux règles de sécurité informatique prennent une tournure particulièrement préoccupante lorsque ce genre d’accessoire est connecté à un réseau d’entreprise.
Le rapport recommande des mesures qui ne sont probablement pas aisément applicables à des produits somme toute très « grand public ». Authentification à double facteur, politique de mot de passe administrable et pouvant être renforcée (sur une montre !), contrôle des droits d’accès… la vision d’une sécurité professionnelle sur un équipement mobile qui n’a jamais été conçu pour ça repose une fois de plus les problèmes du Byod… mais à la puissance 10.