LifeShield est un produit de la société américaine ADT, fournissant des produits de sécurité électroniques aux particuliers, et petites et moyennes entreprises. D’après le cabinet CSI, LifeShield détenait 33,6% de part de marché aux US au 3ème trimestre 2020.
Tribune – La vulnérabilité détectée (CVE-2020-8101) ouvre à des failles majeures de sécurité telles que :
- La fuite d’informations d’identification locales de chaque appareil dans le Cloud
- Injection de commandes authentifiées localement
- Accès illimité au flux vidéo local via le protocole de communication RTSP
Bitdefender rend public un rapport complet sur les vulnérabilités détectées :https://www.bitdefender.com/files/News/CaseStudies/study/375/Bitdefender-PR-Whitepaper-Lifeshield-creat4811-en-EN-GenericUse.pdf
Bitdefender a tout d’abord informé la société de manière privée. Les correctifs ont été appliqués depuis août 2020, aux serveurs de production et aux 1500 appareils concernés dans les deux semaines suivant la notification. LifeShield n’a pu en revanche valider que tous les acheteurs de sa caméra ont pu être mis au courant et appliquer les correctifs. Ce pourquoi Bitdefender a laissé du temps à la société avant de rendre la recherche publique.
A noter que la société ADT est impliquée dans un scandale aux Etats-Unis après que l’un de ses employés ait piraté des centaines de caméras pour espionner les utilisateurs dans leur intimité (l’employé aurait ajouté son adresse mail aux comptes de ses clients pour pouvoir y accéder à distance et visionner les images – un procédé réalisé plus de 9000 fois). Le procès est actuellement en cours.
Que peuvent faire les consommateurs ?
Les consommateurs ont plusieurs choix en matière de sécurité lorsqu’il s’agit de sécuriser les objets connectés de leur maison et suivre des conseils pratiques simples :
- Tout d’abord, Rechercher soigneusement les fournisseurs d’objets connectés pour connaître les politiques de mise à jour de sécurité de leurs produits
- Changer les mots de passe par défaut
- Séparer les objets connectés en différents sous-réseaux, (ne pas tous les connectés à un même réseau wi-fi par exemple) et même vérifier régulièrement les mises à jour des microprogrammes
Pour minimiser les risques de compromission, Gauthier Vathaire, Responsable de l’offre consumer de Bitdefender « conseille aux utilisateurs d’installer une solution de cybersécurité de réseau domestique intégrée dans le routeur. Ces technologies peuvent sécuriser tout appareil connecté à Internet, quels que soient son but et ses fonctionnalités. Bitdefender propose par ailleurs gratuitement une application Bitdefender HomeScanner qui peut être utilisée par les particuliers pour scanner les appareils connectés au réseau et identifier les équipements vulnérables qui pourraient être détournés par des pirates ».
Enfin, au niveau des constructeurs, le spécialiste de la sécurité des objets connectés de Bitdefender Alex Balan, Chief Security Researcher, rappelle que « les solutions proposent des niveaux de sécurité très hétérogènes, avec des marques très engagées et d’autres beaucoup moins. La qualité, et notamment la sécurité, a un prix. Il y a par un exemple peu de chance qu’un objet low-cost offre une vraie sécurité. Par ailleurs, il profite de cette occasion pour pour faire évoluer la sécurité des objets connectés, il faudrait se pencher concrètement sur la mise en place de standards de sécurité dédiés ».