Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Des trous de sécurité dans les TV Internet

Des trous de sécurité dans les TV Internet
2011-01-192013-02-11nouvelles technologiesfr
Des failles de sécurité au cœur de votre dernière télévision 3D : En substance, c'est le constat que Mocana fait suite à des tests réalisés sur des télévisions connectées à Internet. Au delà de ce cas particulier, c'est l'Internet des objets qui doit être...
Publié le 19 Janvier 2011 par Jean-François Audenard dans nouvelles technologies

A nous les chaines d'informations spécialisées, la VOD (Video On Demand) et le surf bien confortablement installé dans le canapé : En plus d'être compatibles 3D, les postes de télévision de dernière génération sont désormais connectées à Internet.

Selon la press-release de Mocana, les TV Internet contiendraient des trous de sécurité tels qu'il est possible d'en prendre le contrôle, détourner leur fonctionnement. Une TV Internet n'est en fait rien de moins qu'un ordinateur : Toutes les attaques qu'il est possible de lancer à l'encontre d'un ordinateur vont donc à priori fonctionner sur une TV Internet... Oui, mais en partie seulement et c'est JavaScript le grand coupable cette fois.


vol d'identifiants de connexion

Assez aisément, les experts de Mocana a été en mesure de récupérer les identifiants de connexion à des services payants comme la Video On Demand, à des sites contenant des données personnelles (photos) ou encore à des réseaux sociaux. Quand l'on se rappelle que les mots de passe sont très souvent les mêmes sur tous les sites, les conséquences de ce type de failles sont loin d'être faibles.


quelques bons points

Dans les points identifiés comme étant positifs, on peut retrouver qu'aucun service n'était en écoute sur les interfaces réseau de la TV : La surface d'attaque est donc clairement plus réduite que dans le cas ou des services seraient accessibles.
Le système d'exploitation n'a pu être identifié et les tests de fuzzing réalisés pour tester la résistance du système à des fichiers et contenus spécialement formatés pour pousser le système à planter n'ont pas non plus été probants.


processus de mise à jour sécurisé

Toujours selon le rapport de Mocana, les fonctions de mise à jour du système d'exploitation (firmware ou micro-logiciel) des équipements seraient à priori sécurisés. Cela devraient permettre de mettre à jour les systèmes pour corriger les failles de sécurité et autres bugs qui ne manqueront pas de pointer le bout de leur nez.
Les communications utilisant le protocole SSL se sont elles-aussi montrées dignes de confiance car les tentatives d'attaques ont été aussi correctement déjouées.


globalement c'est OK

A la lecture de ce rapport, même si il est assez court et ne contenant qu'assez peu de détails, on peut en conclure que les TV Internet qui ont été l'objet de ces tests ne sont pas des trous béants. Les problèmes sont principalement localisés au niveau du moteur JavaScript utilisé pour l'affichage des fenêtres et contenus : Espérons que ce rapport aura pour effet de réveiller les constructeurs afin qu'ils sécurisent mieux leurs équipements !


PS: Le lien vers le rapport PDF de Mocana ne fonctionne pas depuis leur press-release : Le rapport est téléchargeable depuis l'article de SecurityWeek "Researchers Hack Internet Enabled TVs, Discover Multiple Security Vulnerabilities".

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage