A nous les chaines d'informations spécialisées, la VOD (Video On Demand) et le surf bien confortablement installé dans le canapé : En plus d'être compatibles 3D, les postes de télévision de dernière génération sont désormais connectées à Internet.
Selon la press-release de Mocana, les TV Internet contiendraient des trous de sécurité tels qu'il est possible d'en prendre le contrôle, détourner leur fonctionnement. Une TV Internet n'est en fait rien de moins qu'un ordinateur : Toutes les attaques qu'il est possible de lancer à l'encontre d'un ordinateur vont donc à priori fonctionner sur une TV Internet... Oui, mais en partie seulement et c'est JavaScript le grand coupable cette fois.
vol d'identifiants de connexion
Assez aisément, les experts de Mocana a été en mesure de récupérer les identifiants de connexion à des services payants comme la Video On Demand, à des sites contenant des données personnelles (photos) ou encore à des réseaux sociaux. Quand l'on se rappelle que les mots de passe sont très souvent les mêmes sur tous les sites, les conséquences de ce type de failles sont loin d'être faibles.
quelques bons points
Dans les points identifiés comme étant positifs, on peut retrouver qu'aucun service n'était en écoute sur les interfaces réseau de la TV : La surface d'attaque est donc clairement plus réduite que dans le cas ou des services seraient accessibles.
Le système d'exploitation n'a pu être identifié et les tests de fuzzing réalisés pour tester la résistance du système à des fichiers et contenus spécialement formatés pour pousser le système à planter n'ont pas non plus été probants.
processus de mise à jour sécurisé
Toujours selon le rapport de Mocana, les fonctions de mise à jour du système d'exploitation (firmware ou micro-logiciel) des équipements seraient à priori sécurisés. Cela devraient permettre de mettre à jour les systèmes pour corriger les failles de sécurité et autres bugs qui ne manqueront pas de pointer le bout de leur nez.
Les communications utilisant le protocole SSL se sont elles-aussi montrées dignes de confiance car les tentatives d'attaques ont été aussi correctement déjouées.
globalement c'est OK
A la lecture de ce rapport, même si il est assez court et ne contenant qu'assez peu de détails, on peut en conclure que les TV Internet qui ont été l'objet de ces tests ne sont pas des trous béants. Les problèmes sont principalement localisés au niveau du moteur JavaScript utilisé pour l'affichage des fenêtres et contenus : Espérons que ce rapport aura pour effet de réveiller les constructeurs afin qu'ils sécurisent mieux leurs équipements !
PS: Le lien vers le rapport PDF de Mocana ne fonctionne pas depuis leur press-release : Le rapport est téléchargeable depuis l'article de SecurityWeek "Researchers Hack Internet Enabled TVs, Discover Multiple Security Vulnerabilities".
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens