Outils

TV connectée : premières failles, premières désillusions

Il n’y avait que les naïfs pour croire que la télévision connectée, sujet sur lequel tout le monde semble vouloir gloser, échapperait aux problématiques de sécurité et de sécurisation. Mais il semblerait que certaines leçons ne puissent être apprises que dans la douleur et Samsung en fait l’amère expérience.

En effet, les chercheurs maltais de Revuln ont mis à jour une vulnérabilité présente sur les Samsung SmartTV, permettant de prendre le contrôle quasi-total de l’appareil, à l’insu – évidemment – de l’utilisateur. Cette vulnérabilité n’est pas cantonnée à la SmartTV et toucherait plusieurs modèles de TV connectées ainsi que l’a démontré en avril dernier Luigi Auriemma, en publiant un « proof-of-concept ».

Le principe d’une télévision connectée est d’être connectée à un réseau local. On va mettre en réseau sa télévision afin qu’elle puisse communiquer avec d’autres appareils, afin de lire des mails, de surfer sur le Web, etc. Mais, comme tous les objets connectés, il convient d’insérer ou de programmer un système de sécurisation. Si la plupart des utilisateurs ont conscience de cette réalité pour leurs ordinateurs, elle n’est pas encore intégrée pour les appareils mobiles et les objets connectés comme la télévision.

Dans le cas de la SmartTV, il suffit que l’attaquant potentiel ait accès au réseau local pour avoir accès à l’ensemble des appareils présents sur le dit réseau pour ensuite en prendre le contrôle. Auriemma avait également découvert une seconde faille faisant crasher l’appareil si le champ de l’adresse MAC de ce dernier contenait une certaine longueur de chaîne. Cette faille serait la résultante d’une vulnérabilité buffer-overflow.

Que ce soit en avril lors de la première publication des résultats de Revuln ou aujourd’hui, Samsung a décidé de ne pas commenter les résultats de recherches. Mais ces démonstrations sont finalement la preuve supplémentaire de l’absence de prise en compte des risques.

En effet, les technologies se développent de plus en plus vite, sont de plus en plus accessibles mais semblent de moins en moins sécurisées, faisant ainsi courir des risques inutiles aux utilisateurs finaux, qui ne sont pas toujours les mieux informés sur les potentielles atteintes dont ils peuvent faire l’objet.  L’histoire de la SmartTV prête à sourire car elle a été réalisée en laboratoire dans un contexte précis. Mais si on commence à spéculer, on peut imaginer ce qu’une personne mal intentionnée pourrait faire si elle avait accès au réseau local d’une entreprise, sur lequel serait présents divers objets connectés. Cela ressemble peut-être à la de science-fiction mais force est de constater que les possibilités d’attaques se multiplient autant que les nouvelles technologies.   

La vidéo réalisée par les chercheurs de Revuln est disponible ici.

Au final, la seule phrase qui vienne à l’esprit dans ce cas de figure est « it’s not a bug, it’s a feature »

4 réflexions sur “TV connectée : premières failles, premières désillusions

  • Anonyme

    Excellent

    Tout est dans le titre excellent !!!!
    Les utilisateurs finaux et même certains aficionados avertis ne se doutent pas du potentiel et des vulnérabilités d’une telle technologie.

    Énorme trouvaille en tout cas !!, j’en reste estomaqué o/

    P.S : Du coup j’ai trop envi d’en acheter une 😀

  • Tris Acatrinei

    Pour la démonter ? 😀

    Pour la démonter ? 😀

  • Anonyme

    Bonjour,

    Bonjour,

    Une TV connectée ne contient rien d’autre qu’un ordinateur avec un OS et une connection reseau.
    En plus c’est fait pour accepter des systèmes du genre DLNA qui permettent la mise en commun et l’exploitation de videos/audios sur un réseau local.
    Il n’y a donc rien de surprenant dans ce que vous décrivez.
    Tout ce qui est ordi + connection réseau sera attaqué de la même facon. C’est normal.
    Par ailleurs, la faille est quand meme très faible puisqu’il faut déjà avoir accès au réseau local.
    Donc le risque c’est que quelqu’un du reseau local affiche ce qu’il veut sur la TV connecté et non pas l’inverse…

    Je ne comprends donc pas ou est l’étonnement ?

  • Tris Acatrinei

    Oui et tout

    <Mode Ironie ON> Oui et tout le monde sait qu’il est devenu très difficile d’avoir accès à un réseau local… </Mode Ironie OFF>

    De ma part, il n’y a aucun étonnement : n’importe quel objet connecté à un réseau fera nécessairement l’objet d’une attaque basée sur l’exploitation d’une faille quelconque.

Commentaires fermés.