Passer au contenu

Test : Bitdefender Box, la fausse bonne idée pour sécuriser ses objets connectés

Fonctions boguées, filtrage très basique, analyse de vulnérabilités peu convaincante… Protéger les objets connectés par un boîtier réseau est une bonne idée, mais l’offre proposée par Bitdefender Box n’inspire pas vraiment confiance.   

L'avis de 01net.com

Bitdefender Box

Les plus

  • + Une protection (basique) pour les objets connectés

Les moins

  • - Analyse de vulnérabilités peu convaincante
  • - Fonctions d'administration non abouties

Note de la rédaction

Note publiée le 26/07/2017

Voir le verdict

Fiche technique

Bitdefender Box

Normes Wi-Fi 802.11b, Wi-Fi 802.11g, Wi-Fi 802.11n
Débit théorique annoncé 100 Mbit/s
Voir la fiche complète

Il n’est jamais facile de créer une nouvelle catégorie de produit et le lancement de Bitdefender Box n’échappe pas à cette règle. Disponible sur le marché américain depuis 2015, ce boîtier de sécurité d’un nouveau genre est désormais diffusé dans l’Hexagone pour un tarif public de 199,99 euros. Ce prix comprend la fourniture du matériel et un an d’abonnement à la suite Bitdefender Total Security pour un nombre illimité de terminaux, sachant que le renouvellement annuel est tarifé à 99 euros.

La promesse de Bitdefender Box est séduisante. Dans un monde où les objets connectés colonisent de plus en plus nos foyers, il ne suffit pas de sécuriser son PC ou son smartphone. Il faut également protéger ces nouveaux appareils aux usages dédiés et sur lesquels on ne peut pas installer d’antivirus. L’émergence fin 2016 du terrible botnet Mirai prouve qu’il est temps d’agir. L’idée de créer un appareil qui sécurise le réseau dans son ensemble est donc assez naturelle. L’application à la réalité est néanmoins un peu plus compliqué.

Bitdefender – Vue arrière de la Box

Nous avons testé Bitdefender Box sur un réseau familial constitué d’une Freebox v5 et d’une série de terminaux (MacBook Pro Retina avec macOS Sierra, HP Pavilion avec Windows 10, iPhone 6, iPad 3, iPhone 3GS, Apple TV, Wileyfox Swift 2X avec Android 7, serveur NAS WD MyBook). L’installation matérielle ne présente aucune difficulté, mais prend tout de même environ une heure. Il suffit de connecter Bitdefender Box sur l’un des ports Ethernet disponibles de la box Internet. Il faut ensuite télécharger l’application mobile (disponible sur Android et iOS) qui permet d’administrer le boîtier. Elle va automatiquement détecter sa présence et télécharger une mise à jour du firmware, ce qui est un peu longuet.

Bitdefender Box va ensuite désactiver le service DHCP de la box Internet pour prendre le relai et démarrer son service d’analyse et de filtrage. Une petite lumière bleue sous le boîtier vous indique alors que l’appareil est opérationnel. A noter que dans le cas d’une configuration réseau atypique ou d’une box Internet non compatible, l’usage de Bitdefender Box est quand même possible grâce à son port Ethernet (WAN) et sa fonction routeur Wi-Fi intégrés. Le manuel et le site Web du fournisseur détaillent bien les réglages à effectuer.

Scan automatique du réseau

Une fois cette étape d’installation terminée, l’application va scanner automatiquement le réseau local et répertorier les différents appareils, en affichant le nom, le type, le fabricant et l’adresse MAC (mais bizarrement pas l’adresse IP, ce qui serait un plus). On peut modifier le nom et le type de l’appareil, ce qui est pratique car ce dernier n’est pas toujours très bien détecté. On peut également associer chaque appareil à un utilisateur du foyer.
Ceci étant fait, on accède ensuite à un certain nombre de fonctions d’administration à distance qui dépendent de chaque terminal. Certaines fonctions s’appliquent à tous. On peut ainsi attribuer à chaque appareil une adresse IP précise. On peut également – en théorie – bloquer quand on le souhaite l’accès Internet de n’importe quel appareil connecté au réseau. Dans la pratique, cela ne se confirme malheureusement pas. Sur nos appareils macOS, iOS et Android, le blocage n’a jamais fonctionné. Sur notre PC Windows 10, il n’a fonctionné que sur une partie des sites consultés.

Pour les smartphones, les tablettes et les ordinateurs, il est possible d’activer des fonctions de gestion et de protection avancées, ce qui entraînera automatiquement le téléchargement et l’installation d’un agent logiciel local appelé Box Agent. Celui-ci se présente sous la forme d’un simple processus lancé de façon automatique et sans interface utilisateur.
Sur Windows 10, il permet par exemple d’optimiser l’espace de stockage depuis l’application mobile. Sur iPhone, il permet d’activer l’itinérance des données à l’étranger et de verrouiller ou effacer le terminal. Sur Android, il devrait en plus permettre la localisation de l’appareil et l’émission d’une alarme. Malheureusement, dans le cas précis d’Android, le test n’a pas été concluant. Nous n’avons pas réussi à faire fonctionner la géolocalisation, le verrouillage, l’alarme ou la suppression des données. La fonction VPN Private Line, en revanche, peut être activée sur tous les terminaux mobiles. Sur macOS, en revanche, c’est catastrophique. L’agent logiciel n’a pas pu être installé, même au bout d’une dizaine de tentatives. Nous nous sommes retrouvés systématiquement sur la page de téléchargement. Le seul moyen de ne plus être embêté était d’installer directement la suite logicielle.   

Venons-en alors au cœur du sujet: la sécurité. La détection de sites potentiellement malveillants (phishing, pages piégées) est indubitablement le point fort de la Box. Les URL listés par le site phishtank.com sont presque tous bloqués sur n’importe quel appareil, qu’il dispose ou non d’un agent logiciel. La détection de malware, en revanche, est très lacunaire. Sur les 23 tests de téléchargement EICAR et AMTSO effectués sur Windows 10 et macOS, seuls cinq ont été détectés. Et sur les quatre tests AMTSO effectués sur Android, seul un a été bien détecté, le phishing. 

Selon le fournisseur, ce comportement est tout à fait normal : « la Box n’effectue qu’un filtrage au niveau HTTP et le contenu des flux n’est pas inspecté », nous indique-t-il. Il s’agit donc d’une protection très basique. Pour avoir un sécurité complète contre les malwares, il faut nécessairement s’appuyer sur l’agent logiciel ou, encore mieux, sur Bitdefender Total Security. Les tests EICAR/AMTSO montrent qu’alors tous les téléchargements de malware sont détectés. Mais du coup, on comprend aussi que la valeur ajoutée de Bitdefender Box est plutôt faible.

Aucune vulnérabilité détectée, pourtant…

L’appareil n’inspire pas non plus une grande confiance au niveau de la détection des vulnérabilités. Celle-ci est effectuée de manière automatique en tâche de fond. Elle est censée faire l’inventaire des logiciels installés sur les terminaux du réseau local et révéler, par exemple, les manques de mots de passe de verrouillage, les accès à distance non protégés ou les failles de sécurité connues. Dans notre test, Bitdefender Box n’a rien détecté, mis à part la présence ou l’absence de mots de passe de verrouillage (pastille verte ou rouge, comme on peut le voir dans une image ci-dessus).

De son côté, le logiciel professionnel Nessus – qui est gratuit pour l’usage personnel – a d’emblée détecté toute une série de failles de sécurité importantes au niveau de notre disque NAS WD MyBook, dont deux d’un niveau important (voir image ci-dessous). La première (NFS Share User Mountable) permet d’accéder à du contenu stocké sur le disque dur sans aucune authentification. La seconde (Firefly Media Server) permet l’exécution à distance de code arbitraire et, le cas échéant, la prise de contrôle de l’appareil. Dommage que Bitdefender Box ne les détecte pas. L’utilisateur pourrait alors prendre les mesures qui s’imposent, à savoir blinder l’accès et mettre à jour le firmware (si c’est possible).

Vulnérabilités détectées par Bitdefender Box sur le NAS de notre plateforme de test
Vulnérabilités détectées par Nessus sur le NAS de notre plateforme de test

Là où Bitdefender Box se défend relativement bien, c’est au niveau de la vitesse de connexion. Le trafic ascendant n’est presque pas impacté, ce qui est sommes toute logique, la menace provenant plutôt de l’extérieur. Au niveau du trafic descendant, en revanche, on remarque une influence non négligeable de l’appareil. Quand il est connecté, le débit est plus erratique et inférieur d’une petite dizaine de mégabits par seconde, soit environ 20 %.   

Tests de débit descendant (image du haut) et ascendant (image du bas) avec et sans Bitdefender Box. Chaque série représente une trentaine de mesures.

Mieux veut attendre la version 2

En somme, Bitdefender Box est un produit plutôt décevant. Les fonctionnalités de gestion ne sont pas assez abouties et comportent, visiblement, encore trop de bugs. La protection offerte par cet appareil se révèle trop basique pour être utile au niveau des ordinateurs et des smartphones. C’est pourquoi l’éditeur intègre d’emblée dans son offre la totalité de sa suite logicielle. C’est un joli coup marketing, car le client se retrouve finalement avec Bitdefender du sol au plafond et l’investissement matériel ne le poussera pas à aller voir ailleurs.

Pour la sécurité des objets connectés – qui est quand même l’argument de vente premier – Bitdefender Box apporte une protection qui n’existait pas avant en bloquant les connexions vers des URL douteuses ou malveillantes. C’est bien, mais est-ce suffisant pour stopper une attaque de type Mirai ? Ou freiner un pirate qui cible ses victimes simplement à partir du moteur de recherche Shodan.io ? Pas vraiment, car l’origine de l’attaque n’est pas forcément connue et répertoriée dans ces cas-là. De ce point de vue, l’analyse des vulnérabilités semble être la piste qu’il faudrait privilégier. Mais là encore, cette fonction ne nous semble pas aboutie. Avant toute décision d’achat, il serait plus prudent d’attendre la version Bitdefender Box 2.0 qui devrait être disponible avant la fin de l’année.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.