Même si les objets connectés sont correctement sécurisés, ils peuvent quand même faire fuiter des informations sur votre vie privée à un tiers pas forcément digne de confiance, à savoir votre fournisseur d’accès. Ce dernier, en effet, voit passer tous les échanges entre les objets connectés et les serveurs cloud des fournisseurs. Ces flux sont évidemment chiffrés, mais une simple analyse réseau suffit pour déduire pas mal d’informations. C’est ce que viennent de prouver trois chercheurs de l’université de Princeton.
Pour réaliser leur étude, ils ont installé dans leur laboratoire quatre appareils : un capteur de sommeil (Hello Sense), une caméra de surveillance (Nest Cam Indoor), une prise électrique intelligente (Blekin WeMo Switch) et un assistant vocal (Amazon Echo). Dès qu’il se passe quelque chose, ces appareils prennent contact avec des serveurs dans le cloud. Dès lors, le fournisseur d’accès peut déduire tout un tas d’informations sur l’activité de son abonné simplement en regardant l’intensité du trafic.
Mêmes chiffrés, nos flux nous trahissent
Ainsi, les flux du capteur de sommeil indiquent quand la personne se couche et se lève, et même si elle s’est levée pendant la nuit. Ceux de la caméra de surveillance permettent de voir à quel moment quelqu’un passe devant l’objectif, ou lorsque l’utilisateur utilise la fonction de live streaming. En gros, le fournisseur peut donc savoir s’il y a quelqu’un à la maison. Le trafic permet également de voir précisément quand l’utilisateur actionne sa prise électrique et pose une question à l’assistant vocal.
Ce type d’analyse peut se faire de manière totalement passive, sans tentative d’intrusion ou de déchiffrement. Tout ce que le fournisseur d’accès a besoin de faire, c’est de collecter les requêtes DNS. Elles ne sont jamais chiffrées et lui permettent de séparer les flux et de les attribuer à tel ou tel appareil. En effet, les objets connectés utilisent toujours plus ou moins les mêmes domaines. Et le tour est joué. « Compte tenu de la généralité de notre stratégie d’analyse de trafic et du degré de spécialisation de la plupart des objets connectés, nous ne serions pas surpris que beaucoup d’autres appareils domestiques intelligents seraient affectés par une telle fuite de données privées », soulignent les chercheurs.
Ce risque n’est pas à prendre à la légère car les fournisseurs d’accès sont de plus en plus intéressés à récolter un maximum de données personnelles sur leurs abonnés, dans la perspective de booster leur business publicitaire. En mars dernier, le sénat américain a voté une loi qui autorise les fournisseurs d’accès à vendre à des tiers les données de connexion et de trafic qu’ils ont récolté auprès de leurs abonnés, sans que ces derniers n’aient leur mot à dire. En Europe, on n’en est pas encore là, mais nos opérateurs ont plus ou moins les mêmes idées.
Se protéger contre cette fuite de données personnelles n’est pas si simple. La mise en place d’un VPN permet d’occulter certains éléments comme la destination des paquets. La séparation des flux est donc plus difficile. Mais une simple analyse de la forme du trafic pourrait quand même révéler des informations sensibles. Il faudrait donc avoir un procédé capable de noyer l’activité réseau des objets connectés dans un flux uniforme. A ce jour, cette solution n’existe pas, mais nos trois chercheurs sont fermement décidés à la développer.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.