IoT Forensics : ce que votre maison intelligente sait de vous

Savez-vous combien d'appareils connectés à Internet il y a dans votre maison ? Certainement pas. De nos jours, il peut s'agir de presque n'importe quoi : un thermostat, un téléviseur, une ampoule, un climatiseur ou un réfrigérateur. Mais ce que je sais, grâce à certaines des conversations que j'ai eues au cours des dernières semaines, c'est la quantité de données qu'ils produisent et combien de personnes peuvent accéder à ces données si elles le souhaitent. Indice : c'est beaucoup.

J'ai parlé à des personnes qui travaillent dans un domaine appelé IoT forensics, qui consiste essentiellement à fouiner autour de ces appareils pour trouver des données et, finalement, des indices. Bien que les organismes chargés de l'application de la loi et les tribunaux aux États-Unis ne se réfèrent pas souvent explicitement aux données des appareils IoT, ces appareils deviennent une partie de plus en plus importante des cas de construction. En effet, lorsqu'ils sont présents sur une scène de crime, ils détiennent des secrets qui pourraient être invisibles à l'œil nu. Des secrets comme quand quelqu'un a éteint une lumière, préparé une cafetière ou allumé un téléviseur peuvent être cruciaux dans une enquête.

Mattia Epifani est l'une de ces personnes. Il ne s'appelle pas lui-même un pirate, mais c'est quelqu'un vers qui la police se tourne lorsqu'elle a besoin d'aide pour enquêter sur la possibilité d'extraire des données d'un élément. Il est analyste médico-légal numérique et instructeur au SANS Institute, et il a travaillé avec des avocats, des policiers et des clients privés du monde entier.

« Je suis comme… obsédé. Chaque fois que je vois un appareil, je pense, Comment pourrais-je en extraire des données ? Je le fais toujours sur des appareils de test ou sous autorisation, bien sûr », explique Epifani.

Les smartphones et les ordinateurs sont les types d'appareils les plus couramment saisis par la police pour faciliter une enquête, mais Epifani affirme que les preuves d'un crime peuvent provenir de toutes sortes d'endroits : "Cela peut être un lieu. Cela peut être un message. Cela peut être une image. Cela peut être n'importe quoi. Il peut également s'agir de la fréquence cardiaque d'un utilisateur ou du nombre de pas effectués par l'utilisateur. Et toutes ces choses sont essentiellement stockées sur des appareils électroniques.

Prenez, par exemple, un réfrigérateur Samsung. Epifani a utilisé les données de VTO Labs, un laboratoire de criminalistique numérique aux États-Unis, pour enquêter sur la quantité d'informations qu'un réfrigérateur intelligent conserve sur ses propriétaires.

VTO ​​Labs a rétro-conçu le système de stockage de données d'un réfrigérateur Samsung après avoir amorcé l'appareil avec des données de test, extrait ces données et publié publiquement une copie de ses bases de données sur son site Web à l'usage des chercheurs. Steve Watson, PDG du laboratoire, a expliqué qu'il s'agissait de trouver tous les endroits où le réfrigérateur pourrait stocker des données, à la fois dans l'unité elle-même et à l'extérieur, dans des applications ou dans le stockage en nuage. Une fois cela fait, Epifani s'est mis au travail pour analyser et organiser les données et accéder aux fichiers.

Ce qu'il a trouvé était un trésor de détails personnels. Epifani a trouvé des informations sur les appareils Bluetooth à proximité du réfrigérateur, les détails du compte d'utilisateur Samsung comme les adresses e-mail et les réseaux Wi-Fi domestiques, les données de température et de géolocalisation et les statistiques horaires sur la consommation d'énergie. Le réfrigérateur stockait des données sur le moment où un utilisateur jouait de la musique via une application iHeartRadio. Epifani pourrait même accéder aux photos du Diet Coke et Snapple sur les étagères du réfrigérateur, grâce à la petite caméra intégrée à l'intérieur. De plus, il a découvert que le réfrigérateur pouvait contenir beaucoup plus de données si un utilisateur connectait le réfrigérateur à d'autres appareils Samsung via un compte familial centralisé personnel ou partagé.

Rien de tout cela n'est nécessairement secret ou non divulgué aux gens lorsqu'ils achètent ce modèle de réfrigérateur, mais je ne m'attendrais certainement pas à ce que si j'étais sous enquête, un policier - avec un mandat, bien sûr - puisse voir mon visage affamé à chaque fois. fois que j'ai ouvert mon frigo à la recherche de fromage. Samsung n'a pas répondu à notre demande de commentaire, mais il suit des pratiques assez standard dans le monde de l'IoT. Beaucoup de ces types d'appareils accèdent et stockent des types de données similaires.

Selon Watson et Epifani, les appareils n'ont même pas besoin d'être particulièrement sophistiqués pour s'avérer utiles dans les enquêtes criminelles.

Tous deux ont travaillé sur des appareils plus discrets que les réfrigérateurs intelligents. Une fois, VTO Labs a examiné un circuit imprimé d'une bouée océanique dans le but de savoir s'il contenait des données sur les mouvements maritimes des trafiquants de drogue. Watson dit que le circuit imprimé a révélé un fournisseur de communications par satellite et, finalement, le numéro de compte associé à un passeur.

Pour aggraver les nombreux risques de sécurité et de confidentialité, de nombreux appareils IoT fonctionnent également sur des systèmes d'exploitation obsolètes, et donc moins sécurisés, car les utilisateurs se souviennent rarement de les mettre à jour. "Pouvez-vous imaginer que les gens mettent à jour leur réfrigérateur ? Non, ils ne le font pas », dit Epifani.

Ce problème ne fera que croître à mesure que nous remplirons nos maisons de plus en plus de choses qui se connectent à Internet. Récemment, le Atlantic a écrit un excellent morceausur les données que les téléviseurs intelligents collectent sur leurs observateurs assis sur leur canapé. Ma collègue Eileen Guo a montré comment les aspirateurs Roomba peuvent prendre des photos invasives, dans une enquête sur la manière dont les données ont été collectées sur les personnes qui testaient les produits.

Watson ne s'inquiète pas particulièrement du fait que le gouvernement ou les entreprises de technologie vous espionnent via votre thermostat, en soi. Il est plus préoccupé par toutes les façons dont vos données sont vendues et accumulées par les courtiers en données.

"C'est là qu'il y a des risques que les gens ne comprennent pas : si mon lit suit mon sommeil et suit mon rythme cardiaque, et que cette société vend ces informations à une compagnie d'assurance qui se rend compte que vous avez un événement quasi cardiaque chaque fois que vous allez à dormir, ou que vous souffrez d'apnée du sommeil ou autre », dit-il.

"Plus la technologie empiète sur nos vies dans tous les aspects... nous perdons la capacité d'avoir le moindre contrôle sur où elle va, combien est collectée, qui met la main dessus et ce qu'ils en font."

Lire l'histoire complète ici…