Oui, la Chine nous surveille probablement à travers nos appareils IoT

Votre téléphone/ordinateur portable/caméra de sécurité domestique vous espionne-t-il pour le compte du gouvernement chinois ?

Nous allons probablement.

Devez-vous vous en soucier ?

Oui… mais aussi, quel choix avons-nous tous ?

Internet des objets La sécurité des appareils (IoT), en particulier dans les systèmes de caméras de sécurité domestiques comme Wyze, Aqara et Ring, est un sujet brûlant ces derniers temps. Il a été démontré à plusieurs reprises que les appareils qui fuit et au mieux peu sûr, sans authentification ni cryptage à deux facteurs. Cela a donné lieu à une multitude d’incidents au cours desquels des pirates ont pris le contrôle de la vie numérique des gens et les ont menacés.

Absence d’approche holistique

Mais un problème encore plus vaste réside dans la surveillance passive qui pourrait se produire. De nombreux appareils sont assemblés en Chine, à l’aide de pièces chinoises. Même si les entreprises ne sont pas explicitement chinoises, cela constitue une menace. À tel point que le ministère américain de l’Intérieur a institué fin janvier une interdiction de Des drones de fabrication chinoise et des pièces de drones, craignant que la technologie ne renvoie des informations au gouvernement chinois.

« En général, les appareils IoT contiennent de nombreux composants tiers et différentes piles de communication, qui offrent de nombreuses façons aux parties malveillantes de les pirater. » a déclaré Natali Tshuva, PDG et co-fondatrice de Sternum, une société israélienne de cybersécurité qui travaille sur une connectivité sécurisée pour les appareils IoT, dans un e-mail adressé à Digital. Les tendances.

Cela est en train de changer quelque peu, a déclaré Tshuva. Les vulnérabilités courantes des systèmes IoT tels que les bases de données Elasticsearch laissées ouvertes à l'accès sans informations d'identification sont problématiques, a-t-elle déclaré. Cela souligne la nécessité d’un chiffrement de bout en bout.

« Les entreprises prennent des mesures pour améliorer la sécurité de leurs appareils, mais il leur manque une approche globale. qui couvre tous les aspects de sécurité de leurs appareils, laissant la possibilité aux attaquants de les exploiter », Tshuva a écrit. « Avec des milliards d’appareils IoT qui arriveront sur le marché aujourd’hui et dans les années à venir, il est essentiel que chaque appareil soit doté d’une sécurité intégrée. »

Le prix conduit le bus

Le problème, a déclaré Jimmy Jones, expert en cybersécurité des télécommunications chez Positive Technologies, est que ces entreprises se soucient avant tout d'être les premières sur le marché, ce qui signifie Réduire les coûts. « Tout dépend du prix. Les gens ne veulent pas payer ce dollar supplémentaire », a déclaré Jones à Digital Trends. « Ainsi, ils [les entreprises] finissent par utiliser des logiciels et des pièces tiers. Le problème est qu’une grande partie [des appareils] vient de Chine. »

« Il est difficile de dire ce qui est malveillant et ce qui est simplement incompétent », a déclaré Ron Gula, ancien hacker blanc de la National Security Administration et actuel investisseur dans des startups de cybersécurité. "Disons que certaines entreprises ont une sécurité parfaite sur leurs appareils, mais qu'elles sont toujours basées en Chine", a-t-il déclaré. « Toutes ces données qu’ils collectent, le gouvernement chinois peut demander à y avoir accès. Il se peut même qu’il y ait un accès implicite, et ils n’ont pas besoin de nous en parler.

Qui la Chine espionne-t-elle alors, si elle espionne effectivement? "En un mot, indirectement, probablement tout le monde", a déclaré Jones. « Mais ce n’est pas nécessairement une raison de s’alarmer; c’est une situation de confiance.

Une grande partie de nos vies est désormais produite en Chine. Où délimitons-nous les produits que nous sommes prêts à accepter à partir de là, a demandé Jones. "Est-ce une voiture? Est-ce un drone? Est-ce une ampoule? Est-ce un système de chauffage central? Jones a déclaré, en soulignant deux histoires, l'une sur une attaque DDOS en Finlande qui a fermé un le système de chauffage central de la ville, un autre un autre à propos ampoules intelligentes fuite des informations d'identification Wi-Fi.

"Nous l'avons vu avec Huawei", a déclaré Jones, faisant référence au géant chinois de la fabrication de téléphones qui a été la cible de nombreuses colères de la part de l'administration Trump. « Ces entreprises, ou leurs sociétés holding, appartiennent toutes aux syndicats. Le Parti communiste chinois est essentiellement à la tête des syndicats, donc en réalité, tout le monde n’est qu’à deux pas d’être la propriété du gouvernement chinois.

"Il doit y avoir un moment où la confiance doit primer", a déclaré Jones. « Ou bien, créons-nous une nouvelle superpuissance pour fabriquer nos produits, et puis dans 10 ans nous décidons que nous ne leur faisons pas confiance non plus ?

Exiger que tout soit fabriqué ici aux États-Unis n’est pas vraiment réalisable, a déclaré Gula. "Nos iPhones sont fabriqués en Chine", a-t-il déclaré. "Comme la plupart des routeurs Cisco et la plupart ordinateurs portables.» Et honnêtement, dit-il, ce n’est pas ce qui compte ici. Le meilleur antidote à l’heure actuelle consiste simplement à éduquer le public.

« Lorsque vos données sont dans le Cloud, vous espérez qu’elles seront protégées, mais elles sont honnêtement soumises aux lois du lieu où elles sont hébergées », a-t-il déclaré. Et puis se pose la question de savoir où sont stockées les données transmises via ces appareils. « La provenance des données, l'endroit où elles sont stockées et qui y a accès est un gros problème. »

"Je ne veux pas voir d'autocollants 'Made in China'", a déclaré Gula. « Je voulais voir des autocollants « Données hébergées en Chine ». »

Recommandations des rédacteurs

• Oubliez l'Internet des objets. Voici ce que représente réellement l’IoT
• Des groupes de consommateurs interpellent les détaillants pour une meilleure sécurité de l'IoT