On le savait et cela se confirme encore une fois, la priorité des constructeurs d’électronique grand public n’est pas tant la sécurité des utilisateurs que la rapide mise sur le marché des appareils.

Le laboratoire spécialisé dans l’IOT de l’éditeur Avast a ainsi découvert que les 2 constructeurs utilisent dans leurs décodeurs DVB-T2 une version de Linux vieille de plus de 3 ans qui n’est plus mise à jour. De plus, le port de communication Telnet est ouvert par défaut. Or certains de ces décodeurs, à l’instar des modèles THT741FTA et DTR3502BFTA disposent d’un port Ethernet qui permet à des apps intégrées comme la météo de se connecter à Internet pour récupérer des informations.

Vu les quantités vendues, les pirates disposent ainsi potentiellement d’un large réseau international de machines pour héberger leur code malveillant et lancer une attaque d’envergure. Parmi les recommandations des chercheurs d’Avast aux utilisateurs pour qu’ils se protègent, celle de n’acheter que des appareils de grande marque fabriqués par des « constructeurs crédibles » … Si Thomson et Philips ne le sont pas, qui l’est ? Autres conseils, n’activer que les fonctions utiles et s’assurer que la configuration ne présente pas de risque, des actions qui sont hors de portée des ménages qui achètent ce type d’appareils pour qu’ils fonctionnent (en toute sécurité) dès leur branchement. La meilleure solution est en réalité de ne pas connecter ces boîtiers au réseau du foyer et de se contenter de la réception des chaînes hertziennes, fonction première de tels appareils.

Bien sûr, la vraie solution pour garantir le niveau sécurité attendu par les particuliers serait d’intégrer la sécurité dès les premières phases de conception des produits, et de sensibiliser marketeurs et ingénieurs à ces problématiques. Il s’agit là d’une modification substantielle des processus d’entreprises dans lesquels les aspects techniques sont souvent conditionnés aux contraintes commerciales et financières. Si ce dernier point prime, la perspective de devoir prendre en charge les coûts des attaques inciterait peut-être les constructeurs à ne plus faire l’impasse sur la sécurité. Économiser quelques dizaines de milliers d’euros mais prendre le risque de devoir payer des millions en réparation est une équation que les directions comprennent très bien. Les vieilles recettes, comme « taper au portefeuille », sont souvent très efficaces.