Les téléviseurs connectés ou Smarts TV offrent une nouvelle cible d'attaque aux cybercriminels : leurs défenses de sécurité sont souvent très en deçà de ce que l’on trouve sur les smartphones et les ordinateurs de bureau. Ces matériels qui tournent avec des systèmes d'exploitation mobiles comme Android ou Tizen, sont une cible facile, d’autant plus que les fabricants ont donné une priorité à la commodité plutôt qu’à la sécurité. Un compromis qui pourrait avoir de graves conséquences. De plus, les Smarts TV ne sont pas des produits utilisés uniquement par le grand public : elles sont souvent utilisées dans les salles de conférences des entreprises.

Selon Research and Markets, les ventes de Smarts TV devraient augmenter de plus de 20 % par an jusqu'en 2019. Si les attaques contre les téléviseurs connectés ne sont pas encore très répandues, les experts en sécurité pensent que ce répit ne durera pas longtemps. Selon eux, les cybercriminels sont déjà en train d’étudier les faiblesses de ces appareils. « Bon nombre de solutions n’appliquent même pas les bonnes pratiques déjà en cours dans le monde de l’IT », a déclaré Phil Marshall, directeur de recherche chez Tolaga Research. « L'écosystème est fragmenté, et le principal objectif des fabricants est de mettre leurs produits le plus rapidement possible sur le marché ».

Des PC déguisés en super TV 

Essentiellement, les Smarts TV sont des ordinateurs. Elles tournent avec des systèmes d'exploitation, elles sont dotées de ports USB et elles offrent des capacités réseau au même titre que les smartphones. Mais la plupart du temps, à la différence des ordinateurs et des appareils mobiles, ces télévisions ne nécessitent pas d'authentification. « Fondamentalement, si vous vous trouvez dans la même pièce que le téléviseur, celui-ci vous considérera toujours comme le propriétaire », a déclaré Craig Young, chercheur en sécurité informatique chez Tripwire. Après les tests de sécurité qu’il a effectués sur ces matériels, celui-ci a également expliqué que certains modèles ne demandaient pas à la personne qui envoyait des commandes sur le réseau de prouver qu’elle pouvait effectivement contrôler physiquement le téléviseur.

Cela signifie qu’un attaquant distant pourrait demander à la Smart TV de montrer quelque chose de beaucoup plus embarrassant ou inattendu que les derniers chiffres de vente communiqués pendant une réunion. « Ce genre de situation pourrait arriver pendant une présentation dans la salle du conseil d'administration d’une entreprise », a ajouté le chercheur. La plupart des principaux fabricants - Samsung, LG et Sony - ont ouvert des boutiques d’applications pour leurs Smarts TV, à l’image de ce qu’a fait Apple pour les smartphones. Mais, comme sur les smartphones, les utilisateurs pourraient aussi télécharger des applications malveillantes sur des boutiques d’applications de tierce partie. Cette procédure d'attaque utilisée contre les mobiles pourrait tout aussi bien être reproduite contre les téléviseurs connectés.

Pas de chiffrement pour rapatrier les firmwares

Candid Wueest, chercheur de Symantec spécialisé dans les menaces, a délibérément infecté son téléviseur Android flambant neuf avec un ransomware, un malware qui crypte les fichiers et exige une rançon en Bitcoin. L'expérience du chercheur a été un peu arrangée : celui-ci a modifié les paramètres DNS sur son propre routeur en simulant une attaque dite man-in-the-middle et il a fait télécharger l'application malveillante par le téléviseur depuis une source douteuse. « De vrais assaillants pourraient réaliser ce type d’attaque sans difficulté », a-t-il déclaré. Candid Wueest a également mis en évidence d’autres problèmes liés à la mise à jour logicielle. Certains modèles de Smart TV n’utilisent pas de protocole de chiffrement SSL/TLS pendant le téléchargement des mises à jour. Le téléviseur pourrait très bien télécharger et installer un firmware malveillant au cœur du système. Le chercheur a remarqué que certains modèles de téléviseurs connectés ne vérifiaient même pas l'intégrité du firmware après téléchargement. Interrogé par téléphone par nos confrères d’IDG NS, Candid Wueest a déclaré qu’aujourd’hui « la question de la sécurité des téléviseurs connectés se posait surtout après coup ».

Toutes ces questions sont problématiques, d'autant que, de plus en plus, les téléviseurs connectés permettent d’effectuer des transactions commerciales. Notamment, de plus en plus d’utilisateurs n’hésitent pas à saisir leurs identifiants de cartes bancaires sur leurs téléviseurs. « Pour le Black Friday, ma femme adore faire son shopping en utilisant la télévision et elle transmet ses informations financières pour effectuer ses paiements », a déclaré Scott Wu, co-fondateur de 0xID, une société basée à Seattle, spécialisée dans la sécurité des terminaux mobiles. Les Smarts TV ne sont protégés par aucun logiciel antivirus, et il est peu probable que cette solution, certes pratique, suffise à stopper des cyberattaques.

Un antivirus dégraderait les performances

Par ailleurs, il serait très facile de faire tourner des logiciels antivirus sur un téléviseur, mais ceux-ci pourraient dégrader les performances du produit. « Ce n’est plus très vendeur, si le logiciel de sécurité perturbe la diffusion des programmes. Cela découragerait les consommateurs d’acheter une Smart TV », a encore déclaré Craig Young. Sur la série de téléviseurs testés par Scott Wu, au moins l’un d’entre eux tournant sous Android, disposait d’un système d’authentification capable de limiter l’action des applications sans l'approbation explicite de l'utilisateur, atténuant un peu les dommages que pourrait causer une app malveillante sur une Smart TV. Mais, selon lui, il est probable que la plupart du temps les utilisateurs ignoreront les alertes pour continuer à regarder leur programme.

Selon Craig Young, les problèmes de sécurité que l’on peut rencontrer sur ces TV sont les mêmes que ceux qui touchent les dispositifs de l’Internet des Objets (IoT), dotés comme eux de capacités de connexions, et sur lesquels les experts ont émis les mêmes craintes. Certaines entreprises commencent à prendre en compte ces questions de sécurité et proposent des produits capables de détecter les anomalies sur les réseaux, plutôt que de doter ces appareils de logiciels antivirus à grande échelle. Par exemple, des produits comme Sense de F-Secure et une solution de Dojo-Labs proposent de surveiller le trafic domestique échangé entre plusieurs dispositifs pour repérer les anomalies. « Il est clair que l'industrie réfléchit et cherche des solutions à ce problème », a déclaré Craig Young.