Sécurité

Samsung ment encore sur le cryptage de ses Smart TV – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Quand la nouvelle a éclaté que les téléviseurs intelligents de Samsung écouté les conversations et les a envoyés à une société de serveurs tierce, le fabricant coréen a répliqué en affirmant que toutes les transmissions de données vers et depuis ses téléviseurs étaient cryptées. Lorsque les tests ont démontré que le données en cause n’était pas crypté (malgré l’envoi via le port 443, qui est généralement utilisé pour le trafic HTTPS), Samsung a modifié sa position, affirmant que les nouveaux téléviseurs étaient correctement cryptés, mais pas les anciens. Cela aussi s’est maintenant avéré faux.

Après les découvertes de la semaine dernière, nous avons parlé aux chercheurs en sécurité de Pentest Partners pour déterminer la marque et le modèle du téléviseur qu’ils avaient testé. Le modèle initial était un UE46ES8000, un téléviseur haut de gamme pour son époque, mais qui a maintenant deux ans. Cette fois-ci, l’équipe a testé un UE55HU7500. Cet écran se vend actuellement à 1 569,86 £ au Royaume-Uni selon Amazon. Les avis datent de juin 2014 à janvier 2015 et l’appareil est largement disponible – il s’agit, en d’autres termes, d’un téléviseur Samsung « actuel » selon tout sens raisonnable du terme.

L’équipe a testé le nouveau téléviseur de la même manière que l’ancien et a constaté que les données sont toujours transférées en clair.

SamsungTVPlaintext

Pourtant, il y avait une chance qu’une mise à jour du micrologiciel du téléviseur résolve le problème, puisque le nouvel ensemble est expédié depuis quelques mois. Une mise à jour était disponible et l’équipe l’a appliquée, sans aucun effet. Les données restent non cryptées.

Une mauvaise sécurité détruira l’Internet des objets

Après le Catastrophe de Lenovo Superfish, il serait facile d’ignorer ce qui se passe avec les téléviseurs cryptés de Samsung. Bien que la situation de Lenovo soit bien pire, je dirais que les deux problèmes proviennent en fait du même problème fondamental – un échec à vérifier que les procédures de sécurité ont été suivies et mises en œuvre à tous les niveaux.

Psssssst :  Une nouvelle découverte pourrait rendre le cryptage "exponentiellement plus facile" à casser - High-teK.ca

La sécurité est difficile, chronophage et coûteuse. De par sa nature même, il ne réagit pas bien aux virages. Des entreprises comme Samsung, avec d’énormes divisions de produits optimisées en termes de coûts et mettant l’accent sur l’expédition d’un grand nombre de SKU, ne sont pas adaptées au type de longs cycles de test nécessaires pour verrouiller correctement les produits et les équipements, et ne voudront probablement pas investir dans le type d’évaluation de l’appareil qui est nécessaire pour garantir que les données sont traitées correctement.

Il est facile de rejeter une telle rigueur comme inutile et de prétendre que tout le fardeau repose sur Microsoft ou Google, mais cette attitude tuera le plus Appareils IdO à long terme. Si les téléviseurs intelligents acquièrent la réputation de compromettre la sécurité des utilisateurs en raison d’incidents de piratage très médiatisés, les consommateurs apprendront à les éviter. Traduisez cela dans l’ensemble de l’écosystème IoT et le marché à long terme sera fondamentalement compromis.

Il est temps pour Samsung et les autres fabricants de nommer directement les appareils qu’ils ont verrouillés, les appareils qui restent non chiffrés et un calendrier pour résoudre ce problème.

Bouton retour en haut de la page