Si vous possédez une SmartTV, vous n’êtes peut-être pas le seul à la contrôler

Propriétaires de Smart TV, attention à vos données ! Une étude menée par Yossi Oren et Angelos Keromytis, deux chercheurs basés au laboratoire de sécurité réseau de l’Université de Columbia, met en garde contre la facilité avec laquelle il est possible de les pirater. Il suffirait en effet d’intercepter le signal TNT émit par le fournisseur à l’aide d’une antenne pour infiltrer le réseau sur lequel est connecté le téléviseur ciblé. Cette faille permet au hacker de récolter les sons, images et données envoyés par l’opérateur, diffuser son propre signal et ainsi s’introduire dans la Smart TV. L’attaquant pourra alors non seulement accéder aux données clients partagées avec le fournisseur, mais aussi prendre le contrôle du téléviseur. De là une véritable mine d’or s’offre à l’assaillant: celui-ci peut hijacker à la fois microphone et caméra, infiltrer disques durs et clés USB éventuellement branchés au téléviseur, ou encore installer un ransomware qui bloquera votre TV le temps que la rançon demandée soit versée.

Cette manœuvre permet également au hacker de contourner la protection de votre pare-feu local, et se servir du navigateur web intégré pour télécharger un code malveillant afin d’infiltrer les autres appareils présents sur le réseau. L’étude révèle qu’il « suffirait » d’investir environ 450 dollars dans une antenne bas de gamme pour être en mesure de pirater jusqu’à 20 000 Smart TVs. L’éditeur d’antivirus Trend Micro met également en garde contre certaines techniques similaires à celles touchant ordinairement les ordinateurs, qui encouragent les utilisateurs à télécharger et exécuter un logiciel ou une application infecté. C’est le cas notamment d’une application Android infectée par un malware, qui prétendait fournir l’accès à des chaînes internationales. Une fois installé par la cible, le virus permet au pirate d’accéder à l’historique de navigation internet ainsi qu’aux données personnelles, coordonnées et mots de passe de la victime. En prenant le contrôle des sites web et comptes personnels connectés à la TV, il peut également usurper l’identité de cette dernière en diffusant par exemple des messages ou statuts se faisant passer pour la victime sur les réseaux sociaux.

Les chercheurs condamnent la négligence des fabricants de Smart TV à cet égard, en démontrant que ces failles sécuritaires sont notamment issues du nouveau standard industriel de diffusion de la télévision et d’Internet. Le Hybrid Broadcast Broadband TV (HbbTV), créé en 2011, a été adopté par 90% des fournisseurs Smart TV sur le marché selon une étude menée par le cabinet de recherche GFK. Il est privilégié par les fournisseurs car il permet notamment aux publicitaires et diffuseurs de cibler plus précisément leurs publicités et d’ajouter des contenus interactifs à leurs programmes. Questionné à ce sujet, le consortium HbbTV a jugé que la faille n’était pas assez conséquente pour revoir le standard appliqué aux fabricants de Smart TV, ce qui continue d’exposer les millions de Smart TV disponibles sur le marché à des vulnérabilités critiques. Malgré les failles avérées du produit, il n’existe par ailleurs pas d’antivirus ni de système de protection permettant de parer les attaques en question. Il est donc recommandé aux utilisateurs de débrancher le téléviseur du réseau local, et de télécharger des applications provenant uniquement des sites officiels rattachés au modèle de la Smart TV. Malgré le manque de réactivité d’HbbTV, certains fabricants ont pris des mesures visant à sécuriser le système : Samsung a par exemple récemment sorti un téléviseur équipé du système alternatif « Tizen », qui possède entre autres une fonctionnalité permettant la sauvegarde isolée des données personnelles ainsi que la détection de logiciels malveillants. En vue de la croissance continue du marché des objets connectés – environ 32 millions en circulation prévus pour 2020 selon un rapport publié par EMC et IDC – il devient impératif de prioriser la sécurité de ces appareils.