Le cabinet NCC Group tire la sonnette d'alarme. Pratiques dans la vie courante (personnalisables, sans fil, connexion domotique...), les sonnettes connectées présentent de nombreux atouts mais aussi un gros défaut qui n'est pas le moindre : un manque flagrant de sécurité. C'est en tout cas ce que révèle une étude menée par NCC Group, spécialisé en cybersécurité : « Dans l'ensemble, les problèmes que nous avons constatés au cours de cette recherche ont mis en évidence une mauvaise approche du développement d'appareils IoT sécurisés. Il y a encore des appareils en cours de développement, d'expédition et de vente avec un éventail de problèmes, sans parler de ceux que l'on retrouve dans les imitations de ces appareils », ont écrit les co-auteurs du rapport de NCC Group.
La plupart des soucis de sécurité des sonnettes connectées sont liés à des fonctionnalités non documentées (stockage en clair des identifiants, exploit DNS Server Port 53, HTTP Service Port 80...) qui, si elles étaient connues, pourraient être exploitées par des pirates. D'autres problèmes détectés sont relatifs aux applications mobiles adossées aux sonnettes (génération de QR code non sécurisé, contrôle d'accès défaillant, fuite de données...) ainsi qu'à des vulnérabilités matérielles.
Des sonnettes connectées étudiées mais pas classées
« Le micrologiciel est potentiellement l'une des informations les plus sensibles qu'un fabricant d'appareils IoT peut développer car il contrôle le matériel (caméra, module Wi-Fi physique, etc.) et doit être protégé. Au cours de la recherche sur l'application mobile et la capacité de mise à jour du micrologiciel à distance, il a été découvert que l'appel d'une URL spécifique téléchargerait également le fichier binaire requis pour la mise à jour du micrologiciel. Dans certains des cas étudiés, ces URL n'utilisaient que HTTP et n'étaient pas authentifiées, ce qui permettait à toute personne connaissant cette URL de télécharger le micrologiciel pour analyse », prévient NCC Group.
Parmi les modèles de sonnettes connectées passées sur le grill, on trouve Victure VD300, HD Wi-Fi Video Doorbell V5, Smart WiFi Doorbell (YinXn), Qihoo: 360 D819 Smart Video Doorbell, Accfly Smart Video Doorbell V5 et Smart Wifi Doorbell – XF-IP007H. Malheureusement, le cabinet n'a pas poussé plus loin la comparaison entre ces différents modèles puisqu'on ne sait pas laquelle est sujette à telle ou telle vulnérabilité. Dommage. Mais suffisant en tout cas pour éveiller la vigilance des utilisateurs quant au risque cyber lié à des terminaux en apparence anodins mais pouvant devenir si l'on y prend pas garde un véritable loup dans la bergerie.