La scène de piratage de la maison intelligente dans Scream est possible, mais vous êtes probablement OK
Deux éléments combinés pour faire de cet article une réalité. Le premier était qu'octobre était le mois de la sensibilisation à la cybersécurité . Deuxièmement, en plein milieu du mois, la première bande-annonce du nouveau film Scream est tombée. Il contenait une scène qui nous inquiétait un peu. Voyez si vous pouvez le repérer.
Évidemment, nous parlons de la scène des serrures intelligentes. Tous vos verrous dans votre maison se déverrouillent, vous sortez donc votre smartphone et les reverrouillez, pour les voir tous se déverrouiller à nouveau. L'implication ici est que la personne de M. Scary Killer a piraté le compte de maison intelligente de sa victime et peut contrôler tous les appareils dans toute la maison. Aïe.
En tant que personne qui ne porte pas les clés de sa maison à cause de toutes les serrures intelligentes , je devenais un peu nerveux. J'ai donc décidé d'en parler à quelqu'un. J'ai contacté John Shier, conseiller principal en sécurité chez Sophos pour en parler. Il m'a donné de bonnes et de mauvaises nouvelles. Je vais commencer par les mauvaises nouvelles.
Oui, c'est possible. La bonne nouvelle est que c'est plutôt difficile à faire et la meilleure nouvelle est que les chances que cela vous arrive sont infinitésimales, à moins bien sûr que vous ayez aussi quelqu'un qui veuille vraiment vous faire du mal. Mais la vérité honnête est qu'il y a de fortes chances qu'il y ait suffisamment de vos données pour rendre quelque chose comme cela possible.
LOLwut?
Il y a deux choses qui se combinent pour rendre cela possible : l'ingénierie sociale et les violations de données. Séparément, l'un ou l'autre peut obtenir un attaquant suffisamment d'informations pour pirater votre maison intelligente . Ensemble, cela devient encore plus possible. Mais vous devez comprendre, quand nous disons que c'est possible , nous devons rapidement le mettre en garde en disant que ce n'est pas très probable .
Si vous acceptez l'idée du film selon laquelle il y a beaucoup de planification et de préméditation, alors cela devient beaucoup plus facile, c'est-à-dire plus plausible. Le fait est que les violations de données se produisent fréquemment et que les gens réutilisent souvent les adresses e-mail et les mots de passe pour plusieurs services. Votre mot de passe exposé par la société XYZ (nous ne parlons pas ici de violation de données) pourrait bien être le même nom d'utilisateur et le même mot de passe que vous utilisez pour vos serrures intelligentes. Même si le mot de passe est différent, l'adresse e-mail est une information clé vers d'autres moyens de pirater votre chemin.
Avant que vous ne demandiez, non, nous ne transformons pas cela en un didacticiel « piratez votre chemin dans les maisons de vos amis et de votre famille ». Mais il suffit de dire que toute information vous concernant qui a été exposée par l'une de ces violations de données rapproche un peu plus un malfaiteur potentiel de l'accès final à vos comptes. Cela peut se produire via l'ingénierie sociale ou en utilisant des données exposées lors de violations. Ni l'un ni l'autre n'est insignifiant. "Je pense que lorsque nous parlons de la sécurité de l'IoT en général, ce sont probablement certains des plus gros risques lorsqu'il s'agit de perdre le contrôle des appareils", a expliqué Shier.
L'ingénierie sociale repose sur des ruses qui, honnêtement, peuvent ou non fonctionner. Si quelqu'un décide d'emprunter cette voie, il doit être en mesure de tromper un utilisateur en lui faisant renoncer à ses informations d'identification. C'est à ce stade de ma conversation avec Shier que j'ai appris des façons surprenantes de créer facilement un site de phishing à cette fin. Encore une fois, ce n'est pas un tutoriel, donc je ne le répéterai pas ici, mais il suffit de dire que parfois Internet est vraiment nul.
L'autre voie impliquerait de passer au crible des millions d'ensembles d'informations d'identification et de trouver une cible qui, selon la violation, peut ne pas être identifiable par son nom. Une cible peut s'appeler John Doe, mais son adresse e-mail peut être [email protected] et il n'y a peut-être aucun moyen d'associer ces deux informations incroyablement disparates.
Des sites comme haveIbeenpwned.com peuvent vous faire savoir si votre adresse e-mail a fait partie d'une violation de données n'importe où, mais ils ont également l'effet inverse. Un attaquant pourrait obtenir l'adresse e-mail d'une victime potentielle et utiliser ce site pour voir à quelles violations de données il a participé. À partir de là, vous pouvez télécharger les données des violations et essayer les noms d'utilisateur et les mots de passe. C'est-à-dire qu'il n'y a rien d'un attaquant qui accède à l'adresse e-mail d'une victime potentielle et envoie simplement des réinitialisations de mot de passe.
« Vous êtes plus susceptible d'être monétisé que traqué. [Les criminels] sont plus susceptibles de vouloir obtenir vos informations d'identification bancaires et vos informations personnelles [pour] la fraude d'identité que pour fouiller avec vos lumières et vos serrures », a déclaré Spier.
Le but de tout cela est que c'est très possible, et les données sont là pour le faire, mais la probabilité que cela arrive à une personne aléatoire par un autre pirate informatique aléatoire est faible. Il y a beaucoup de travail à faire pour pénétrer les informations d'identification de quelqu'un pour sa maison intelligente. Mais il est beaucoup plus probable que les données perdues lors d'une violation de données soient utilisées pour la monétisation, qu'il s'agisse de vendre les données ou de les utiliser pour le vol d'identité.
Il est incroyablement peu probable que le résultat final d'un pirate informatique par effraction dans une entreprise soit une scène d'un film d'horreur. Mais je suppose que je dois admettre que ce n'est pas zéro. Je devrais également mentionner que la fraude d'identité est elle-même une scène d'un film d'horreur beaucoup plus ringard, mais c'est aussi assez terrible si cela vous arrive.
Gardez une longueur d'avance
Cela étant dit, vous pouvez faire certaines choses pour protéger vos données et sécuriser votre maison intelligente. Shier parle d'hygiène de l'identité, comme l'utilisation d'adresses e-mail et de mots de passe différents de chaque site. Si vos données sortent, les dommages seront minimes. L'utilisation de l'un des meilleurs gestionnaires de mots de passe est une excellente idée, tout comme l'activation de l'authentification à deux facteurs dans la mesure du possible.
Une autre chose que Spier souligne était de s'assurer que tous les comptes ou mots de passe par défaut qui auraient pu être livrés avec votre appareil domestique intelligent sont supprimés ou modifiés. Certains appareils sont livrés avec un « admin/admin » par défaut comme nom d'utilisateur et mot de passe, et parfois les utilisateurs créent leur propre compte sans supprimer la valeur par défaut. De même, ils créeront leur propre mot de passe sans avoir supprimé le mot de passe intégré. Les pirates peuvent facilement découvrir quels sont ces mots de passe par défaut et tenter un piratage avec ces informations.
Tenez-vous en aux marques renommées. Les entreprises hors marque et/ou plus petites ont tendance à aller et venir et peuvent ne pas considérer la mise en œuvre de mises à jour logicielles aussi critiques que certaines des marques les plus connues et les plus dignes de confiance. Si vous avez un appareil qui n'a pas été mis à jour depuis un certain temps, envisagez de contacter le support client et découvrez ce qui se passe. Le développement de logiciels est un processus continu.
En parlant de cela, assurez-vous de garder vos appareils intelligents à jour. Ce n'est pas une mauvaise idée de vérifier périodiquement les mises à jour logicielles. Des vulnérabilités de sécurité peuvent survenir de temps en temps et le plus souvent, elles sont rapidement éliminées. Mais cela n'aide que si vous téléchargez et installez réellement la mise à jour.
Donc, la bonne nouvelle est que, à moins que vous n'ayez rendu quelqu'un vraiment, vraiment fou, vous pouvez continuer à laisser les clés de votre maison à la maison. Soyons honnêtes, si vous les avez rendus si fous, un pêne dormant ordinaire ne serait probablement pas d'une grande aide de toute façon. Mais cela ne veut pas dire que vous pouvez complètement baisser votre garde. Assurez-vous de vérifier régulièrement les mises à jour avec votre technologie de maison intelligente, utilisez des gestionnaires de mots de passe et 2FA, et surtout, ne dites jamais, jamais, « Je reviens tout de suite.