TV connectée : premières failles, premières désillusions

Il n’y avait que les naïfs pour croire que la télévision connectée, sujet sur lequel tout le monde semble vouloir gloser, échapperait aux problématiques de sécurité et de sécurisation. Mais il semblerait que certaines leçons ne puissent être apprises que dans la douleur et Samsung en fait l’amère expérience.

En effet, les chercheurs maltais de Revuln ont mis à jour une vulnérabilité présente sur les Samsung SmartTV, permettant de prendre le contrôle quasi-total de l’appareil, à l’insu – évidemment – de l’utilisateur. Cette vulnérabilité n’est pas cantonnée à la SmartTV et toucherait plusieurs modèles de TV connectées ainsi que l’a démontré en avril dernier Luigi Auriemma, en publiant un « proof-of-concept ».

Le principe d’une télévision connectée est d’être connectée à un réseau local. On va mettre en réseau sa télévision afin qu’elle puisse communiquer avec d’autres appareils, afin de lire des mails, de surfer sur le Web, etc. Mais, comme tous les objets connectés, il convient d’insérer ou de programmer un système de sécurisation. Si la plupart des utilisateurs ont conscience de cette réalité pour leurs ordinateurs, elle n’est pas encore intégrée pour les appareils mobiles et les objets connectés comme la télévision.

Dans le cas de la SmartTV, il suffit que l’attaquant potentiel ait accès au réseau local pour avoir accès à l’ensemble des appareils présents sur le dit réseau pour ensuite en prendre le contrôle. Auriemma avait également découvert une seconde faille faisant crasher l’appareil si le champ de l’adresse MAC de ce dernier contenait une certaine longueur de chaîne. Cette faille serait la résultante d’une vulnérabilité buffer-overflow.

Que ce soit en avril lors de la première publication des résultats de Revuln ou aujourd’hui, Samsung a décidé de ne pas commenter les résultats de recherches. Mais ces démonstrations sont finalement la preuve supplémentaire de l’absence de prise en compte des risques.

En effet, les technologies se développent de plus en plus vite, sont de plus en plus accessibles mais semblent de moins en moins sécurisées, faisant ainsi courir des risques inutiles aux utilisateurs finaux, qui ne sont pas toujours les mieux informés sur les potentielles atteintes dont ils peuvent faire l’objet.  L’histoire de la SmartTV prête à sourire car elle a été réalisée en laboratoire dans un contexte précis. Mais si on commence à spéculer, on peut imaginer ce qu’une personne mal intentionnée pourrait faire si elle avait accès au réseau local d’une entreprise, sur lequel serait présents divers objets connectés. Cela ressemble peut-être à la de science-fiction mais force est de constater que les possibilités d’attaques se multiplient autant que les nouvelles technologies.   

La vidéo réalisée par les chercheurs de Revuln est disponible ici.

Au final, la seule phrase qui vienne à l’esprit dans ce cas de figure est « it’s not a bug, it’s a feature ».