HP, pour qui la sécurité constitue une part non négligeable de son activité suite aux rachats consécutifs de Fortify, ArcSight et Tipping Point, a publié une étude sur l'Internet des objets dans laquelle sont pointées du doigt de nombreuses vulnérabilités. Pour réaliser son étude, HP a utilisé des techniques de test manuelles et automatisées, sur 10 objets connectés populaires, basées sur de multiples critères allant de la sécurité de l'interface web, aux services réseaux en passant par le firmware, ou encore à l'authentification.
Les résultats sont édifiants : 7 terminaux connectés sur 10 utilisent des services réseaux non chiffrés qui pourraient permettre à un pirate d'accéder à des informations personnelles comme le nom, prénom, date de naissance, adresse de l'utilisateur, voire son numéro de carte de crédit. Par ailleurs, 8 sur 10 ne proposent pas, pour leurs services cloud et mobiles, des mots de passe suffisamment longs et complexes. Enfin, 6 objets connectés sur 10 proposent des interfaces utilisateurs présentant des vulnérabilités pouvant déboucher sur des attaques de type persistent XSS, et n'utilisent pas de chiffrement pour télécharger les mises à jour logicielles.
Parmi les terminaux connectés testés, on trouve des thermostats, des alamres ou encore des fermetures de portes de garage connectées. « Nous sommes aux prémices d'un monde des objets connectés qui devrait d'après le Gartner atteindre 26 milliards d'unités en 2020. Heureusement, il reste du temps pour les sécuriser avant que les consommateurs risquent quelque chose », avertit HP dans son étude.