Smart Wearables

Portez-les sans qu’ils vous déshabillent.

Les Smart Wearables, aussi appelés simplement «Wearables», dont le nom est dérivé du terme anglais «Wearable Computing Device», sont de petits systèmes informatiques qui peuvent être portés directement sur le corps. Les Wearables appartiennent à la catégorie des « appareils intelligents » car ils peuvent être mis en réseau avec d'autres appareils via Internet ou d'autres technologies de transmission de données.

Example : Les nouvelles montres connectées pourront contenir de plus en plus informations privées ou professionnelles. Ainsi, le GPS par exemple peut enregistrer nos habitude de déplacement et nous localiser en temps réel.

Les Wearables les plus populaires sont :

  • Les Fitness ou Activity Tracker
  • Les Smart Watches (montres intelligentes), qui combinent généralement les applications d’un Fitness Tracker et d’autres fonctions
  • Les Smart Headsets (écouteurs intelligents)
  • Les vêtements et lunettes intelligents sont moins courants

Pour que les Wearables puissent offrir leurs fonctions, des données personnelles sont collectées via des applications correspondantes.

Les risques principaux

Artboard 2

Fuite d'informations

Peut faire autant de dégâts qu’une fuite d’eau…

Fuite d'informations

Les Wearables transfèrent les données vers un smartphone via des interfaces Bluetooth ou NFC, puis une application associée évalue les données, les prépare graphiquement et les affiche. Des services cloud ou des « companion devices », tels que les Smartphones, les tablettes ou les PC auxquels se connectent les Wearables, sont utilisés comme stockage temporaire. Si la transmission et le stockage ne sont pas encryptés, il existe également un risque de manipulation et d'espionnage lors de la transmission des données. De par leur nature, les Wearables collectent un grand nombre de données sur nos habitudes quotidiennes, nos déplacements, nos performances physiques… Autant de données sensibles qui peuvent faire l’objet d’utilisations malveillantes.
Artboard 1

Détournement

Une armée de robots qui nous veut du mal…

Détournement

Les objets connectés peuvent également faire l’objet d’attaques qui ne les visent pas directement, mais visent à les transformer en « zombies » pour former des réseaux de robots « Botnets » contrôlés à distance. Ces Botnets servent en général à lancer des attaques par déni de service (DDOS – Distributed Denial of Service). En effet, si l’attaquant arrive à contrôler assez de dispositifs IoT pour former un Botnet, il peut les activer simultanément afin de générer un flux de données artificiel aussi intense que les réseaux sont en surcharge. Il en résulte une non-disponibilité des réseaux ou systèmes d’information, parfois vitaux pour les individus, entreprises ou collectivités.
Artboard 4

Tracking

Où que vous soyez, on le saura…

Tracking

Les Wearables étant par définition portés par leur propriétaire, ils enregistrent tous ses déplacements s’ils sont équipés de GPS. Détournés de leur fonction initiale, ils peuvent nous espionner ou divulguer des données sensibles nous concernant (condition physique, déplacements, habitudes alimentaires…). Les données enregistrées par ces objets connectés peuvent par exemple intéresser les assureurs qui pourraient s’en servir à votre insu pour augmenter vos primes d’assurance s’ils estiment que vous avez un comportement à risque ou une santé défaillante.

Conseils de protection

Artboard 1

Mot de passe

0000 c’est nul comme mot de passe

Mot de passe

La première précaution à prendre est d'assurer un niveau élevé de complexité des mots de passe. Ceux-ci doivent contenir des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez tester la robustesse de votre mot de passe au travers d'outils gratuits tels que https://howsecureismypassword.net/. Les objets connectés contiennent pour la plupart des comptes par défaut dont les identifiants et mots de passe sont généralement connus et figurent dans les documentations publiques. Il est dès lors très aisé pour un attaquant de tester ces portes d’entrées pour tenter de prendre le contrôle d’un IoT. Dès le premier accès à la configuration du dispositif IoT, il est conseillé de créer ses propres comptes administrateur nominatifs et d’ensuite effacer les comptes par défaut. De cette façon, on se prémunit contre des attaques visant ces cibles faciles. Le « companion device » connecté devrait également être sécurisé avec un mot de passe fort et être protégé comme tout appareil mobile. Cela s'applique également à la sécurisation du réseau WiFi utilisé.
Artboard 2

Réseau

Fermez la porte d’entrée...

Réseau

Pour que les Wearables puissent offrir leurs fonctions, des données personnelles sont collectées via des applications correspondantes. Si des tiers non autorisés accèdent à ces données, et en fonction du volume et de la nature de celles-ci, ils savent beaucoup, voire ou presque tout sur l'utilisateur et pourraient les utiliser pour de mauvaises raison. Les passerelles possibles vers le système d'un Wearable, et donc vers les données qui y sont stockées, représentent des failles de sécurité dans le logiciel d'application ou le système d'exploitation de ces mini-ordinateurs intelligents. Lorsqu’il est couplé à votre Smartphone le Wearable peut avoir accès aux données et fonctions du Smartphone, telles que l'emplacement, les contacts ou le statut téléphonique. Les autorisations d'accès du Wearable aux données du companion device doivent donc toujours être vérifiées et désactivées le cas échéant. À l'inverse, l'accès aux données des Wearables via des applications du companion device ne devrait être autorisé que si vraiment nécessaire. Un attaquant pourrait exploiter cela, par exemple, pour prendre le contrôle du Wearable. Si un Wearable piraté dispose de droits étendus pour contrôler un autre appareil sur lequel il est connecté, tel qu'un smartphone, l'attaquant peut également utiliser ces droits pour prendre le contrôle de ce dernier. Une surveillance régulière du réseau local (Wi-Fi), des appareils connectés et de leur activité permettra également de détecter d’éventuels problèmes et de fermer des portes lorsqu’elles ne sont plus utilisées. Quelques bonnes pratiques :
  • Si l’objet n'a pas d'option de protection via un mot de passe ou un code PIN, il doit être stocké et conservé à un endroit sécurisé lorsqu'il n'est pas porté sur le corps
  • Si possible, le cryptage des données doit être activé
  • Une surveillance régulière du réseau local (Wi-Fi), des appareils connectés et de leur activité permettra également de détecter d’éventuels problèmes et de fermer des portes lorsqu’elles ne sont plus utilisées.
Artboard 10

Renseignez-vous

« Clever Akafen »

Renseignez-vous

Avant d'utiliser ou d'acheter un Wearable, les utilisateurs devraient vérifier les points suivants et, si possible, configurer eux-mêmes les paramètres pour plus de sécurité. Le couplage initial des Wearables avec des companion devices doit avoir lieu dans un environnement de confiance, par exemple à votre domicile. De cette manière, on peut éviter que des informations sensibles qui sont à échanger lors de la connexion initiale soient interceptées, par exemple lors de l'échange de mots de passe.
Artboard 7

Mises à jour régulières

Patch, Patch, Patches…

Mises à jour régulières

L'un des problèmes majeurs est un suspect habituel de la cybersécurité : la mise à jour logicielle (« patch »). Il est particulièrement important d'utiliser les patchs fournis par les fournisseurs. Cela est d'autant plus important pour les objets connectés qui sont par définition exposés en permanence à de attaques potentielles. Lorsque des mises à jour sont disponibles pour le Wearable, elles doivent être installées immédiatement. S'il existe une fonction de mise à jour automatisée, celle-ci devrait être activée. Attention : à chaque mise à jour, des modifications dans la structure des autorisations peuvent être apportées. Vérifiez les autorisations après chaque mise à jour et réajustez si nécessaire.
Artboard 12

Mise au rebut

Car tout a une fin...

Mise au rebut

En cas de non-usage prolongé ou bien en cas d’obsolescence, il convient de sortir les dispositifs IoT du réseau et de les mettre au rebut. Souvent les dispositifs IoT ont une mémoire qui stocke des informations ou bien des configurations qui révèlent des aspects liés à la sécurité de votre réseau. Il ne faut pas oublier de supprimer ces données des appareils.
Artboard 11

Désactivation du dispositif

Car un oubli peut devenir une faille...

Désactivation du dispositif

Tout dispositif IoT intégré dans le réseau présente des failles et vulnérabilités potentielles. Un dispositif qui n’est pas utilisé risque en outre d’être oublié dans l’inventaire ou bien dans les mises à jour de sécurité. Par conséquent, il ne faut pas hésiter à désactiver tout dispositif qui n’est pas utilisé.
Artboard 6

Contrat

Dura lex sed lex…

Contrat

Comme pour tout contrat, une lecture attentive s’impose. Les conditions générales d’utilisation d’un objet connecté peuvent se révéler longues et complexes, mais elles ne sont pas anodines car elles engagent légalement leurs utilisateurs.