Deux éléments combinés pour faire de cet article une réalité. La première était qu'octobre était Mois de sensibilisation à la cybersécurité. Deuxièmement, au milieu du mois, la première bande-annonce du nouveau Crier le film est tombé. Il contenait une scène qui nous a un peu inquiétés. Voyez si vous pouvez le repérer.
Contenu
- Mdr, mais ?
- Gardez une longueur d'avance
Cri | Bande-annonce officielle (film 2022)
Nous parlons évidemment de la scène des serrures intelligentes. Toutes les serrures de votre maison se déverrouillent, vous sortez donc votre téléphone intelligent et reverrouillez-les, seulement pour les voir tous se déverrouiller à nouveau. L’implication ici est que M. Scary Killer a piraté le compte de maison intelligente de sa victime et peut contrôler tous les appareils de la maison. Ouais.
Vidéos recommandées
En tant que personne qui n’a pas les clés de sa maison à cause de toutes les serrures intelligentes, je devenais un peu nerveux. J'ai donc décidé d'en parler à quelqu'un. J'ai contacté John Shier, conseiller principal en sécurité chez
Accueil Sophos pour en parler. Il m'a donné de bonnes et de mauvaises nouvelles. Je vais commencer par les mauvaises nouvelles.Oui, c'est possible. La bonne nouvelle est que c’est plutôt difficile à faire et la meilleure nouvelle est que les chances que cela vous arrive sont infinitésimales, à moins bien sûr que vous ayez aussi quelqu’un qui veut vraiment vous faire du mal. Mais la vérité est qu’il y a de fortes chances que vos données soient disponibles en quantité suffisante pour rendre quelque chose comme ça possible.
Mdr, mais ?
Deux éléments se combinent pour rendre cela possible: l’ingénierie sociale et les violations de données. Séparément, l’un ou l’autre peut fournir à un attaquant suffisamment d’informations pour pirater votre maison intelligente. Ensemble, cela devient encore plus possible. Mais tu dois comprendre, quand nous disons que c'est possible, il faut vite le prévenir en disant que ce n’est pas très probable.
Si vous acceptez l’idée du film selon laquelle il y a beaucoup de planification et de préméditation, alors cela devient beaucoup plus facile, c’est-à-dire plus plausible. Le fait est que les violations de données se produisent fréquemment et que les gens réutiliser les adresses e-mail et les mots de passe pour plusieurs prestations. Votre mot de passe exposé par la société XYZ (nous ne faisons pas honte aux violations de données ici) pourrait bien être le même nom d'utilisateur et le même mot de passe que ceux que vous utilisez pour vos serrures intelligentes. Même si le mot de passe est différent, l’adresse e-mail constitue une information clé pour d’autres moyens de vous frayer un chemin.
Avant que vous ne le demandiez, non, nous n’en faisons pas un tutoriel « piratez les maisons de vos amis et de votre famille ». Mais il suffit de dire que toute information vous concernant qui a été exposée par l’une de ces violations de données rapproche un peu plus un malfaiteur potentiel de l’accès à vos comptes. Cela peut arriver via ingénierie sociale ou en utilisant des données exposées lors de violations. Ni l’un ni l’autre n’est anodin. "Je pense que lorsque nous parlons de la sécurité de l'IoT en général, ce sont probablement les risques les plus importants lorsqu'il s'agit de voir les appareils échapper à votre contrôle", a expliqué Shier.
L’ingénierie sociale repose sur des astuces qui, honnêtement, peuvent ou non fonctionner. Si l'on décide d'emprunter cette voie, il faut être dans une position où il peut tromper un utilisateur en lui faisant renoncer à ses informations d'identification. C’est à ce stade de ma conversation avec Shier que j’ai découvert des façons surprenantes de créer facilement un site de phishing à cette fin. Encore une fois, ce n’est pas un tutoriel, donc je ne le répéterai pas ici, mais il suffit de dire que parfois Internet est nul.
L’autre voie consisterait à passer au crible des millions d’ensembles d’informations d’identification et à trouver une cible qui, selon la violation, pourrait ne pas être identifiable par son nom. Une cible peut s'appeler John Doe, mais son adresse e-mail peut être [email protected] et il n'y a peut-être aucun moyen d'associer ces deux informations très incroyablement disparates.
Des sites comme haveIbeenpwned.com peuvent vous indiquer si votre adresse e-mail a fait partie d'une violation de données quelque part, mais ils ont également l'effet inverse. Un attaquant pourrait obtenir l’adresse e-mail d’une victime potentielle et utiliser ce site pour voir à quelles violations de données elle a participé. À partir de là, vous pouvez télécharger les données des violations et essayer les noms d’utilisateur et les mots de passe. Autrement dit, il ne s’agit pas d’un attaquant qui aurait accès à l’adresse e-mail d’une victime potentielle et qui se contenterait d’envoyer des réinitialisations de mot de passe.
« Vous êtes plus susceptible d’être monétisé que traqué. [Les criminels] sont plus susceptibles de vouloir obtenir vos informations bancaires et vos informations personnelles [pour] une fraude d'identité que pour manipuler vos lumières et vos serrures de porte », a déclaré Shier.
Le point de tout cela est que c’est très possible, et les données sont disponibles pour le faire, mais la probabilité que cela arrive à une personne aléatoire par un autre pirate informatique aléatoire est faible. Il y a beaucoup de travail à faire pour pirater les informations d’identification d’une personne pour sa maison intelligente. Mais il est bien plus probable que les données perdues lors d’une violation de données soient utilisées à des fins de monétisation, qu’il s’agisse de vendre les données ou de les utiliser à des fins d’usurpation d’identité.
Il est incroyablement improbable que le résultat final de l’intrusion d’un pirate informatique dans une entreprise soit une scène d’un film d’horreur. Mais je suppose que je dois admettre que ce n’est pas zéro. Je dois également mentionner que la fraude d’identité est en soi une scène d’un film d’horreur beaucoup plus ringard, mais c’est aussi assez terrible si cela vous arrive.
Gardez une longueur d'avance
Cela étant dit, vous pouvez prendre certaines mesures pour protéger vos données et assurer la sécurité de votre maison intelligente. Shier parle d'hygiène de l'identité, comme l'utilisation d'adresses e-mail et de mots de passe différents sur chaque site. Si vos données sont divulguées, les dégâts seront minimes. En utilisant l'un des meilleurs gestionnaires de mots de passe est une excellente idée, tout comme l'activation de l'authentification à deux facteurs lorsque cela est possible.
Une autre chose que Shier souligne est de s'assurer que tous les comptes ou mots de passe par défaut qui auraient pu être livrés avec votre appareil domestique intelligent sont supprimés ou modifiés. Certains appareils sont livrés avec un « admin/admin » par défaut comme nom d'utilisateur et mot de passe, et parfois les utilisateurs créent leur propre compte sans supprimer la valeur par défaut. De même, ils créeront leur propre mot de passe sans avoir supprimé le mot de passe intégré. Les pirates peuvent facilement découvrir quels sont ces mots de passe par défaut et tenter du piratage avec ces informations.
Restez fidèle aux grandes marques. Les entreprises hors marque et/ou les petites entreprises ont tendance à aller et venir et peuvent ne pas considérer la mise en œuvre de mises à jour logicielles aussi critiques que certaines des marques les plus connues et les plus fiables. Si vous possédez un appareil qui n’a pas été mis à jour depuis un certain temps, envisagez de contacter le support client et découvrez ce qui se passe. Le développement de logiciels est un processus continu.
En parlant de cela, assurez-vous de garder vos appareils intelligents à jour. Ce n'est pas une mauvaise idée de vérifier périodiquement les mises à jour logicielles. Des failles de sécurité peuvent apparaître de temps à autre et, le plus souvent, elles sont rapidement corrigées. Mais cela n’aide que si vous téléchargez et installez réellement la mise à jour.
La bonne nouvelle est donc qu’à moins que vous n’ayez vraiment, vraiment mis quelqu’un en colère, vous pouvez continuer à laisser les clés de votre maison à la maison. Soyons honnêtes, si vous les avez rendus si fous, un pêne dormant ordinaire ne serait probablement pas d’une grande aide de toute façon. Mais cela ne veut pas dire que vous pouvez complètement baisser votre garde. Assurez-vous de vérifier régulièrement les mises à jour de votre technologie de maison intelligente, d'utiliser des gestionnaires de mots de passe et 2FA et, surtout, de ne jamais dire: « Je reviens tout de suite ».
Recommandations des rédacteurs
- Le gouvernement américain lancera un nouveau programme de cybersécurité pour les appareils domestiques intelligents en 2024
- 6 appareils intelligents pour la maison qui peuvent vous faire économiser des centaines par an
- Maisons intelligentes sans Wi-Fi: d’énormes possibilités ou des obstacles?
- Ce hack de maison intelligente sud-coréen est une raison supplémentaire pour laquelle vous devriez sécuriser votre maison
- Le hack de maison intelligente sud-coréen est un véritable cauchemar