Objets connectés: ces marques qui prennent la sécurité trop à la légère

Il peut être difficile de savoir quelles marques prennent la sécurité informatique au sérieux avant d’acheter un produit électronique. Un indice est toutefois de taille : la présence ou non d’un programme de divulgation des vulnérabilités, où le public et les chercheurs peuvent contacter les experts de l’entreprise pour leur faire part des failles qu’ils ont découvertes. 

Dans l’enquête publiée la semaine dernière par Consumer Reports, 28 % des 75 marques analysées ne sont pas dotées d’un tel programme, ni d’un point de contact permettant de partager des vulnérabilités découvertes. Plusieurs marques connues font partie du lot, notamment Fisher Price/Mattel, Lockly, Lutron, Moen ou Vizio. 

À lire aussi : Comment utiliser les clés d’accès (passkeys)

La divulgation : une bonne pratique de sécurité

« Ce sont des programmes qui sont vraiment importants et qui font partie des bonnes pratiques en matière de sécurité », note Guy Bégin, professeur au Département d’informatique de l’Université du Québec à Montréal (UQAM). 

Des utilisateurs doués en informatique, des chercheurs ou des entreprises de sécurité analysent en effet souvent les objets connectés à la recherche de failles. « On peut, par exemple, surveiller toutes les communications reçues ou émises par un objet connecté pour s’assurer qu’elles sont chiffrées et qu’aucune information privée n’est partagée », explique Marc-Étienne M. Léveillé, chercheur en logiciels malveillants pour l’entreprise de sécurité informatique ESET. 

La plupart des entreprises ont des points de contact permettant de partager ces découvertes. Chez les plus grandes marques, des programmes sont même en place pour offrir des récompenses à ceux qui les trouvent. Chez Apple, par exemple, le partage de telles failles peut rapporter d’environ 6 800 $ à plus de 2,7 millions $, selon l’importance de la vulnérabilité. 

« Avoir un mécanisme en place pour partager les failles est un signe que la sécurité des produits est importante pour l’entreprise, et que celle-ci a atteint une certaine maturité en matière de sécurité », estime Marc-Étienne M. Léveillé. 

Guy Bégin affirme d’ailleurs sans équivoque : « Si un fabricant n’a pas un tel mécanisme en place, il faut mieux ne pas acheter ses produits, à moins de ne pas avoir le choix. »

Évidemment, le risque n’est pas le même avec tous les appareils. « C’est plus important de faire attention avec une serrure connectée qu’avec un moulin à café », illustre Marc-Étienne M. Léveillé.

Quelques marques sans programme de divulgation

Voici quelques-unes des marques qui n’ont aucun programme de divulgation des vulnérabilités, ni de moyen pour contacter l’équipe responsable de la sécurité, selon l’enquête de Consumer Reports : 

• Aqara
• Bissell
• Fisher Price/Mattel
• Lockly
• Lutron
• Moen
• Trane
• Vizio

Quelques marques avec un programme de divulgation

Voici, à l’inverse, quelques marques qui offrent un point de contact permettant de partager les failles découvertes. On y retrouve la plupart des grandes entreprises technologiques, mais aussi certaines plus petites : 

• Allegion/Schlage
• Amazon
• Ecobee
• Eufy/Anker
• Eve Home
• GE Appliances
• Google
• HiSense
• iRobot
• Nanoleaf
• Peloton
• Samsung
• Savant/GE Lighting
• Belkin (Wemo)
• LG
• Apple
• Hasbro
• IKEA
• Sony

La liste des entreprises testées par Consumer Reports et qui offrent ou non un programme de divulgation des vulnérabilités est accessible dans l’enquête complète disponible en ligne (en anglais). 

À lire aussi : 38 antivirus testés et Réparation d’ordinateur : des techniciens trop curieux