Risques des objets connectés sur la vie privée : l’analyse de doctorants en sécurité à REDOCS
Rédigé par Jérôme GORIN
-
13 January 2022La Rencontre Entreprises DOCtorants en Sécurité (REDOCS) est un événement organisé tous les ans par le GDR Sécurité Informatique qui se déroule sur une semaine entière. Elle réunit des doctorantes et doctorants en sécurité, principalement en deuxième ou troisième année – voire récemment diplômé(e) – afin de les faire travailler ensemble sur des sujets proposés par divers organismes. En 2021, la CNIL a fait partie des organismes sélectionnés pour proposer une thématique. Les étudiantes et étudiants se sont donc retrouvé(e)s du 25 au 29 octobre 2021 à Marseille, dans le quartier de Luminy.
Pour sa première participation, la CNIL a proposé à cinq d’entre eux de mener une série d’analyses sur différents objets connectés achetés sur des boutiques en ligne, à savoir :
- des caméras de vidéosurveillance à bas coûts,
- des jouets connectés,
- des dispositifs médicaux,
- des enceintes connectées.
Ces analyses se sont déroulées au moyen d’une méthodologie d’unboxing (c’est-à-dire de première utilisation d’un objet connecté, en commençant par son « déballage ») afin d’évaluer les risques que ceux-ci peuvent faire peser sur la vie privée.
Pour cela, la CNIL met à disposition la méthodologie d’analyse des objets connectées fondée sur la méthode PIA de la CNIL, ainsi qu’un ensemble de logiciel permettant l’écoute de communications de ces objets : déchiffrement des communications sur Internet, Bluetooth, Wifi. L’analyse doit couvrir tant les risques techniques liés à la conception de l’objet que ceux liés à son usage en pratique. Cette analyse doit également inclure l’exhaustivité et la clarté des informations délivrées aux utilisateurs avant et au cours de son usage.
Cette rencontre est l’occasion pour ces jeunes chercheuses et chercheurs en sécurité d’évaluer la maturité du marché des objets connectés au regard des enjeux de vie privée, parmi les objets sélectionnés.
Nous avons interviewé les 5 participants et participantes de ce projet, qui en seulement 5 jours ont identifié des problématiques sur l’ensemble des objets connectés analysés.
LINC : Comment avez-vous appréhendé le sujet proposé par la CNIL ?
Nous avons commencé par sélectionner uniquement certains objets, il était en effet impossible de tout traiter en une semaine. Ensuite nous avons décidé de répartir le travail entre nous de la manière suivante : une partie du groupe s'est occupée de l'installation des appareils sélectionnés pendant que d'autres ont étudié les notices et politiques de confidentialités associées. Dans un second temps, nous avons défini la surface d’attaque potentielle (NLDR : les différents points faibles par lesquels un utilisateur non autorisé pourrait potentiellement s'introduire) des produits et procédé à différentes expérimentations, par exemple une étude du trafic réseau. Cela nous a permis d’élaborer des scénarios d’attaques et d’identifier les impacts associés. Pour finir, nous avons réalisé deux documents selon la méthodologie Privacy Impact Assessment pour deux des objets étudiés.
Quelles ont été vos critères de choix dans la sélection les objets et quels sont les aspects que vous avez souhaités analyser ?
Nous avons d'abord choisi d'étudier deux chargeurs de téléphone USB vendus à bas coût sur le site de vente en ligne « Wish » et dotées d’une « caméra espion », dont la fonctionnalité attisait notre curiosité. Pour les autres objets, les critères de choix ont été :
- le public concerné, nous étions particulièrement intéressés par les objets à destination des enfants, nous avons donc étudié une tablette jouet ;
- les applications possibles de ces objets, en particulier les objets pouvant être utilisés dans le domaine médical nous intéressent particulièrement. Ainsi, nous avons étudié un oxymètre ;
- l'utilisation par les objets du Bluetooth au lieu du WiFi éveillait également notre curiosité .
Notre objectif était d’analyser à la fois la sécurité des objets, et le traitement des données personnelles de l’utilisateur.
Nous avons également voulu questionner le rapport bénéfice/risque face aux aspects de certains objets : est-ce vraiment un atout d’avoir une caméra dans un réveil par rapport aux risques que cette caméra peut apporter ?
Pouvez-vous nous présenter vos découvertes suite à cette analyse ?
Les deux chargeurs USB équipés d’une caméra ne disposaient pas de politique de confidentialité, seules quelques informations évasives étaient fournies. La sécurité de ces deux objets était également quasiment nulle, ainsi une simple écoute du trafic réseau permet de récupérer les mots de passes des caméras.
Pour la tablette pour enfant, le constat était plus nuancé et nous avons trouvé quelques points de sécurité discutables : il n’était pas possible d’avoir des caractères spéciaux dans le mot de passe du compte des parents.
Néanmoins, le plus gros problème révélé par notre analyse concerne les données personnelles collectées : beaucoup de données non nécessaires au fonctionnement sont collectées et le principe de minimisation du RGPD n’est pas respecté. Il n'y a également pas d’informations données aux utilisateurs sur les transferts de données vers des serveurs situés dans des pays hors de l'Union Européenne.
Pour l’alarme connectée, une première analyse ne nous a pas permis de détecter de faille de sécurité mais nous avons remarqué plusieurs problèmes pour la protection des données des utilisateurs : par exemple, qu’en est-il des personnes non propriétaires de l'appareil qui se font enregistrer à leur insu ?
De plus, l'appareil écoute en permanence afin de détecter le mot d'activation et enregistre des "bribes de conversation" qui sont ensuite envoyées à l'entreprise qui va les étudier afin d'améliorer la détection du mot d'activation et réduire la probabilité que l'appareil s'active pour un mot ressemblant au mot d'activation. Nous avons également constaté (de manière presque involontaire) que l'appareil enregistre parfois sans que le mot d'activation ni même un mot proche n'aient été prononcés.
Nous avons ainsi été en mesure d’extraire des conversations privées ayant eu lieu à proximité de l’objet, et de les réutiliser en les sortant de leur contexte. Tout ceci sans que ces personnes n’aient été informées préalablement de cet enregistrement, ni qu’elles aient remarqués que ces conversations ont été enregistrées.
Enfin, nous avons analysé l’ensemble des applications compagnons utilisés avec les objets connectés. Nous avons observé que de nombreuses applications compagnons associées aux objets connectés (notamment pour les objets bon marché) constitue un vecteur d’attaque à part entière. Certaines de ces applications accèdent à de nombreuses données du téléphone, et nécessitent des permissions a priori non nécessaires à leur fonctionnement, et tentent même de déployer des malwares.
Quelles sont les conclusions générales ?
Les objets connectés que nous avons étudiés ne partagent pas forcément les mêmes failles de sécurité ou la même politique de confidentialité, mais tous présentent des risques non négligeables. Sur les objets les moins onéreux, nous avons observé une absence de mesures de sécurité, sur les objets plus haut de gamme c’est principalement au niveau de l’information des personnes que des questions se posaient.
Dans tous les cas, les conséquences de ces risques pour la vie privée des utilisateurs sont importantes. En effet, cela peut aller de la récupération et la conservation de données personnelles à l’activation et l’utilisation par un tiers hors du foyer d’un objet filmant notre domicile.
Nos résultats, ne sont issus que d’une analyse superficielle de la sécurité de plusieurs objets et réalisée sur un temps assez limité. Malgré nos contraintes, nos résultats permettent de souligner différents défauts, et laissent à penser qu’une analyse plus approfondie pourrait en révéler d’autres.
A l’issue de cette semaine de travail, nous pensions qu’il serait sans doute utile d’éclairer les consommateurs, notamment en fournissant un score sur le risque vie privée liés aux objets, suivant son niveau de sécurité, l’état de la législation des pays destinataires de ces données et l’usage de traceurs publicitaires .
Prochaine édition
La prochaine édition des REDOCS aura lieu à l’automne 2022 à Luminy. Les inscriptions pour les doctorants et doctorantes seront ouvertes lors des Journées Nationales du GDR avant l’été 2022. Les entreprises souhaitant proposer de nouveaux sujets peuvent contacter [email protected].
Biographies des participants
Morgane Vollmer
Suite au master Cryptis (parcours mathématiques, cryptologie, codage et applications) de Limoges, j’ai rejoint l’Université de Bretagne Occidentale de Brest pour réaliser une thèse d’informatique de sujet « Support logiciel en représentation modulaire des nombres pour le chiffrement homomorphe sur processeurs parallèles ». Ma participation au Redocs s’est faite à la fin de ma première année de thèse.
Gwendal Patat
Après une license d'informatique à l'Université Toulouse III Paul Sabatier et un master de cybersécurité à l'Université de Rennes 1, j'ai continué mon parcours avec un doctorat au sein de l'IRISA (Institut de Recherche en Informatique et Systèmes Aléatoires) et suis actuellement en 2 eme année de thèse. Je travaille principalement sur la recherche de vulnérabilité cryptographique parmi des implémentations fermées propriétaires notamment au sein des systèmes Android basés sur des protections matérielles. Mon objectif est d'exploiter de telles vulnérabilités afin de fournir des preuves de faisabilités démontrant un impact réel afin que celui-ci puisse être corrigé dans le futur.
Diane Leblanc-Albarel
Je suis est en 2 ème année de thèse à Rennes à l’IRISA. Diplomée en 2020 de l’INSA Rouen Normandie spécialité Génie Mathématique et du master 2 Sécurité des systèmes d’Information de l’université de Rouen, j’ai effectué mon stage à l’IRISA puis j’ai poursuivis en thèse au sein de cette même équipe. Ma thèse a pour sujet les Compromis Temps Mémoires Cryptanalytiques. Mon travail consiste à optimiser les attaques utilisant des Rainbow tables.
Daniel De Almeida Braga
Après avoir obtenu une licence de Mathématiques et un Master de Mathématiques Appliquées à la Cryptographie, j’ai travaillé un an en tant qu'Ingénieur Analyste en Cybersécurité. Depuis 2019, je prépare un doctorat portant sur la sécurité des implémentations et standards cryptographiques. Mes travaux se concentrent principalement sur la recherche et l'exploitation de vulnérabilités.
Anaïs Barthoulot
Je suis actuellement en deuxième année de thèse CIFRE à Orange et l'université de Limoges, intitulée "chiffrement avancé pour le partage de données sensibles". A la fin de mon master MCCA (Mathématiques, Cryptologie, Codage et applications) de l'université de Limoges, j'ai effectué mon stage de fin d'étude au sein d'Orange Labs,sur la primitive de "Broadcast Encryption". Ce stage a ensuite débouché sur ma thèse qui porte sur la cryptographie pour le partage de données.
Illustration – Redocs (P. Lafourcade)