5 choses à savoir sur les montres connectées et la sécurité en 2018

5 choses à savoir sur les montres connectées et la sécurité en 2018

Les trackers d’activité, y compris les trackers de fitness dédiés et les smartwatches, peuvent exposer les réseaux d’entreprise s’ils ne sont pas correctement gérés et connectés

Quelle est la part exacte du risque de sécurité que représentent les traqueurs d’activité pour l’informatique d’entreprise ? Plus que vous ne le pensez : les pirates ciblent les trackers de fitness et les montres intelligentes parce qu’ils sont souvent mal sécurisés et peuvent exposer des mots de passe, révéler les habitudes de travail d’employés de grande valeur ou servir de points d’entrée à d’autres systèmes.

À une extrémité du spectre, il y a l’Institut AV-TEST. L’organisme de recherche basé en Allemagne a récemment testé 12 trackers de fitness et l’Apple Watch Series 3 pour voir à quel point ils étaient sûrs (ou non). Huit des 13 appareils ont reçu la cote la plus élevée possible de trois étoiles. Cependant, AV-TEST a évalué les dispositifs pour la sécurité personnelle et non le risque pour l’entreprise.

Les traqueurs d’activité – comme tous les autres appareils qui se connectent à Internet, à une application ou à une autre technologie – ne peuvent pas être sécurisés à 100 %, 100 % du temps. L’incident de STRAVA, survenu plus tôt cette année, illustre comment les données générées et partagées par les traqueurs d’activité pourraient être utilisées à des fins néfastes.

Voici cinq choses que l’informatique d’entreprise devrait savoir sur les traqueurs d’activité et la sécurité en 2018.

1. Les traqueurs de fitness sont de plus en plus sûrs, mais certains présentent encore des risques

“Par rapport aux tests précédents (AV-TEST), les fabricants ont pris la sécurité des données d’aptitude et la protection des données de leurs clients beaucoup plus au sérieux, ce qui semble avoir du sens à la lumière des scandales de données actuels.

Ainsi ont conclu les chercheurs AV-TEST des plus récents tests de sécurité du tracker d’activité de l’organisation, annoncés en mai 2018. En 2016, par comparaison, les chercheurs d’AV-Test ont conclu que les fabricants de trackers “souvent ne prêtent pas assez d’attention à l’aspect de la sécurité”.

Pour l’étude d’AV-Test 2018, chaque tracker a été testé pour la sécurité de ses communications externes, des communications locales, des applications connectées et de la protection des données. D’après les résultats de chaque test, les dispositifs ont reçu une note globale de une, deux ou trois étoiles.

Apple Watch Series 3 a obtenu trois étoiles, avec de bonnes notes dans chacune des quatre zones de test. C’est digne de mention, car Apple est actuellement le plus gros vendeur de vêtements, selon les données du marché d’IDC pour le premier trimestre 2018. Par conséquent, les informaticiens d’entreprise rencontreront probablement un nombre croissant d’utilisateurs dans leur organisation qui portent une Apple Watch.

Fitbit, qui, selon IDC, occupe maintenant la troisième place mondiale parmi les fabricants d’appareils portables, a reçu une note similaire de la part d’AV-TEST pour sa Charge 2. Le score de Fitbit vaut également la peine d’être noté parce que de nombreux travailleurs portent des Fitbits acquis dans le cadre des programmes de conditionnement physique de l’employeur, qui sont généralement gérés par l’intermédiaire de la plate-forme Fitbit Health Solutions.

Six autres fabricants d’appareils, dont Huawei et Garmin, ont obtenu trois étoiles au test AV-Test. Huawei s’est classé quatrième sur la liste d’IDC et Garmin cinquième.

Le tracker HW01 de Lenovo n’a reçu qu’une étoile de AV-Test ; les appareils de Xiaomi, Polar et Moov ont reçu deux étoiles. Cependant, les équipes de TI des entreprises nord-américaines peuvent être moins susceptibles de rencontrer des utilisateurs portant ces dispositifs. Bien que Xiaomi se classe deuxième sur la liste d’IDC, le marché de l’entreprise est en grande partie basé en Chine. Polar et Moov n’ont pas atterri sur la liste d’IDC.

2. Hackers : métadonnées de suivi de cible

Les pirates informatiques ne s’intéressent pas au nombre de pas que vous faites ou à votre fréquence cardiaque au repos. Ils pourraient être intéressés par le tableau d’ensemble que les métadonnées d’un pisteur peuvent peindre de vos activités, surtout si vous êtes quelqu’un qu’ils veulent cibler, note Ramon T. Llamas, un directeur de recherche d’IDC axé sur les appareils mobiles et la réalité augmentée/virtuelle. “Trianguler la durée de l’exercice et les distances que vous faites normalement et l’heure à laquelle vous faites de l’exercice peut montrer à un hacker quand vous êtes ou non au travail, et cela pourrait faire de vous une cible optimale” – un point qu’illustre l’incident récent de Strava.

Les médias ont rapporté en janvier 2018 que les soldats américains qui jumelaient leurs traqueurs d’activité au réseau de conditionnement physique Strava révélaient involontairement leurs coordonnées GPS via la carte mondiale de chaleur de Strava – qui est facilement accessible à toute personne disposant d’une connexion Internet. Le Pentagone ne s’est pas amusé. James Quaries, PDG de Strava, a répondu que l’entreprise ” travaille avec les militaires et les fonctionnaires pour traiter les données potentiellement sensibles “, entre autres mesures correctives.

3. Votre faible priorité en sécurité pourrait être une priorité élevée pour les pirates informatiques

“Les traqueurs d’activité sont plus bas sur la liste des préoccupations en matière de sécurité informatique, en particulier par rapport aux risques tels que les brèches dans les bases de données de mots de passe “, explique Merritt Maxim, un analyste principal de Forrester centré sur la sécurité et les risques. “Mais si les trackers sont en bas de votre liste, l’inverse pourrait être vrai pour les hackers. Ils se concentrent parfois sur des choses qui ne préoccupent pas trop l’informatique d’entreprise, parce qu’ils cherchent des cibles faciles.“.

Par exemple, il y a quelques années, les centres d’appels d’entreprise n’étaient pas une préoccupation majeure en matière de sécurité, note Maxim. Les criminels ont alors commencé à utiliser les appels téléphoniques à faible technicité, ainsi que l’ingénierie sociale et d’autres tactiques, pour obtenir des renseignements personnels sur les clients d’une entreprise auprès de ses opérateurs de centres d’appels, en particulier ceux qui se trouvent à l’extérieur des États-Unis.

4. Une montre à puce volée par un pirate informatique est probablement votre plus grande préoccupation

Les trackers dédiés au fitness perdent du terrain au profit de montres intelligentes plus performantes. Au cours du premier trimestre 2018, les ventes de smartwatch d’Apple, Fitbit et autres ont augmenté de 28,4 %, tandis que les ventes de vêtements de base ont diminué de 9,2 %, rapporte IDC.

Alors qu’auparavant, les smartwatches se limitaient principalement à la connectivité via Bluetooth, de nombreux modèles actuels se connectent via Wi-Fi à des applications pour smartphones. La connectivité Wi-Fi donne aux pirates une plus grande souplesse pour accéder, par exemple, au courrier électronique d’un utilisateur, qui peut être consulté à partir d’une smartwatch. Avec le Wi-Fi ou la connexion cellulaire d’une smartwatch, le voleur n’a plus besoin d’être à portée Bluetooth de la victime pour obtenir une connexion en ligne et ainsi avoir accès à l’information, explique Chet Wisniewski, chercheur scientifique principal de Sophos.

Pour la majorité des gens, cependant, un tel scénario de cape et d’épée est peu probable. “Mais si vous avez des employés à haut risque ayant accès à des informations sensibles, vous devriez leur faire savoir que leur Smartwatch, en cas de perte ou de vol, pourrait potentiellement donner à un pirate l’accès à ces informations “, dit M. Wisniewski. “S’ils perdent la montre, ils doivent vous le faire savoir immédiatement“, ajoute-t-il, afin que l’informatique ou l’utilisateur puisse désactiver la montre à distance. Par exemple, Apple offre une fonction de verrouillage d’activation, qui est active par défaut, sur sa montre Apple Wi-Fi.

De plus, en cas de perte ou de vol d’une montre intelligente Wi-Fi, tirez parti du système de gestion des appareils mobiles (MDM) de votre organisation ” pour assurer la transmission sûre des données entre la montre intelligente et l’entreprise, comme c’est déjà le cas pour les téléphones intelligents et les tablettes “, explique M. Llamas. “Bien sûr, les MDM doivent aussi être tenus à jour.”

5. Les montres Smartwatches n’introduisent pas de risques supplémentaires

Même si les utilisateurs ne portent pas de montres intelligentes, il y a de fortes chances qu’ils aient des smartphones avec eux presque partout, ajoute M. Wisniewski. Les Smartphones suivent constamment l’emplacement et partagent ces données avec les quatre principaux opérateurs sans fil américains (il en est de même en France) ainsi qu’avec les fabricants d’appareils et les éditeurs de logiciels. En juin 2018, on a constaté que les entreprises de télécommunications sans fil américaines partageaient les données de localisation des clients avec des tiers.

“Nous payons déjà volontairement 1 000 $ ou plus pour transporter un tracker – notre smartphone – qui donne nos informations de localisation à toutes sortes d’entreprises “, explique M. Wisniewski. “Si vous y pensez, une montre à puce n’introduit aucun risque supplémentaire.”

En fin de compte, le travail de l’informatique d’entreprise est d’éduquer les utilisateurs sur les risques potentiels et d’identifier les mesures et procédures claires qu’ils devraient prendre pour atténuer ces risques, dit M. Wisniewski. Identifiez les utilisateurs qui risquent le plus d’être la cible de pirates informatiques et aidez-les à trouver des moyens d’être plus vigilants en matière de sécurité.

Vous pourriez dire aux utilisateurs de votre organisation de ne pas porter de traceurs d’activités ou de montres intelligentes, bien sûr, mais bonne chance avec cela. “Vous ne pouvez pas dire aux gens ce qu’ils peuvent ou ne peuvent pas porter “, surtout si, comme une montre à puce, l’appareil est souvent utilisé pour des raisons personnelles, dit Wisniewski. “Acceptez juste qu’il n’y a pas grand-chose que vous pouvez faire à ce sujet.”

felis elit. dolor. dolor id, Aliquam