D’année en année, les objets connectés continuent de se démultiplier et de conquérir les consommateurs. Pour imager cette tendance, le marché des vêtements et accessoires connectés a par exemple connu une croissance de 70 % en 2020 par rapport à l’année 2019. Cependant, les dispositifs connectés sont aujourd’hui de plus en plus touchés par des problèmes de sécurité. Des chercheurs en cybersécurité viennent d’ailleurs de découvrir neuf failles critiques permettant de prendre le contrôle d’objets connectés, voire de les rendre inutilisables.

La sécurité des objets connectés remise en cause

Dans un rapport du nom de NAME : WRECK publié le lundi 12 avril 2021, des chercheurs en cybersécurité de chez Forescout et Jsof ont mis en évidence neuf failles de sécurité majeures concernant les objets connectés. À travers un article, ils expliquent ainsi que les vulnérabilités ciblées affectent plusieurs piles protocolaires TCP/IP, soit des protocoles permettant aux dispositifs de transférer des données sur internet ou entre des appareils.

Touchant les implémentations DNS, les failles découvertes peuvent ainsi permettre de provoquer un déni de service (DoS) ou exécuter du code à distance (RCE) sur des objets connectés. Suite à l’exploitation de ces vulnérabilités, les hackers peuvent « mettre hors ligne ou prendre le contrôle des appareils cibles » soulignent les chercheurs en cybersécurité. Même si les particuliers sont concernés par cette problématique de sécurité, les conséquences pourraient être encore plus dévastatrices pour le réseau d’une entreprise ou encore des hôpitaux. Les dispositifs connectés pourraient ainsi mettre en danger les données stockées sur leurs serveurs par exemple.

Suite à la découverte de ces failles, les entreprises concernées ont rapidement été contactées par Forescout et Jsof afin de leur permettre de combler ces vulnérabilités. Malgré des correctifs déployés par la plupart des constructeurs, l’application de mises à jour de sécurité va se heurter à plusieurs problèmes. Pour commencer, les objets connectés ne disposent pas tous de système de mises à jour automatiques. Cela implique que les utilisateurs aillent par eux-mêmes vérifier la présence d’une nouvelle version de leur objet connecté. De plus, certains produits ne sont plus pris en charge par les fabricants. Ainsi, aucun correctif ne verra le jour pour les appareils les plus anciens.

Selon les chercheurs en cybersécurité, les modules DNS touchés par les failles de sécurité auraient été déployés sur plus de 10 milliards d’objets connectés. « Si nous supposons, de manière prudente, que 1 % des plus de 10 milliards de déploiements mentionnés (…) sont vulnérables, nous pouvons estimer qu’au moins 100 millions de dispositifs sont touchés par NAME : WRECK », précisent-ils.