Votre téléviseur intelligent vous met-il en danger?

L’époque où notre téléviseur ne pouvait diffuser que des chaînes télévisées traditionnelles est bel et bien révolue. Désormais, ces appareils classiques cèdent de plus en plus leur place à leurs successeurs « intelligents », qui peuvent être utilisés pour écouter des enregistrements audio et vidéos en streaming, s’adonner à divers jeux, naviguer sur le Web, télécharger et utiliser des applications – tout cela grâce à leur connexion Internet. Tout ceci amène néanmoins une question fondamentale : sommes-nous en sécurité autour de nos télés intelligentes?

Cette évolution participe à une tendance plus large, qui consiste à connecter l'électronique grand public et les objets courants au Web, créant ainsi un nombre de plus en plus grand d’appareils liés à l'Internet des Objets (IdO).

Ceci dit, la connexion Internet des téléviseurs intelligents et les risques de sécurité associés à l’IdO en général ont ouvert les vannes à un déluge de menaces à notre vie privée et notre sécurité.

Les recherches ont montré que diverses attaques à l’encontre des télévisions intelligentes sont possibles et faisables, ne requièrent souvent aucun accès physique à l’appareil, ni à aucune interaction avec l’utilisateur. On a aussi démontré à plusieurs reprises qu’une fois qu’un téléviseur connecté est compromis, il peut servir de tremplin à des attaques visant d’autres appareils au sein du même réseau, ciblant au final les données personnelles stockées par les utilisateurs, voire même les ordinateurs de ceux-ci.

Regarder la télévision, ou être regardé par son téléviseur?

Si vous appréciez probablement regarder votre télé intelligente, vous ne souhaitez vraisemblablement pas que celle-ci puisse vous regarder en retour. Cependant, observer l’auditeur décrit tout à fait ce que ces appareils peuvent faire.

En 2013, des chercheurs ont démontré qu'en exploitant les failles de sécurité de certains modèles de téléviseurs Samsung pouvant se connecter à Internet, il était possible d'allumer à distance la caméra et le microphone intégrés. En plus d'avoir converti les téléviseurs en appareils auditifs, ils ont pu prendre le contrôle d'applications de médias sociaux intégrées, afficher des informations au nom des utilisateurs et accéder aux fichiers. Un autre chercheur a mis en lumière un type d’attaque qui lui a permis d'insérer de fausses nouvelles dans le navigateur d'un téléviseur intelligent.

Les logiciels malveillants peuvent également se faufiler dans le téléviseur intelligent afin de les convertir en dispositifs d'écoute. Dans ce vecteur d'attaque, qui s'est également avéré réalisable, les pirates parviendraient à créer une application légitime avant de lancer une mise à jour malveillante, qui serait alors automatiquement téléchargée sur un smart TV équipé d'un microphone intégré.

En 2014, une faille dans une norme de télévision interactive largement répandue connue sous le nom de Hybrid Broadcast Broadband TV (HbbTV) a été mise en lumière. On a découvert que le code d'une attaque malveillante pouvait être caché au sein d’émissions « voyous » et cibler des milliers de téléviseurs intelligents en un seul coup, détournant ces derniers ainsi que d'autres dispositifs dans le réseau, volant les identifiants, affichant de fausses publicités, et même furetant pour dénicher des réseaux Wi-Fi non protégés. De plus, l'attaque ne requiert pas d'astuces particulières de piratage.

Les problèmes liés à HbbTV ont de nouveau retenu l’attention en 2017. Un chercheur en sécurité a fait la démonstration d'une technique de déploiement d'un signal hertzien délinquant pour compromettre les téléviseurs pouvant être connecté à Internet. Une fois pris en charge par l’attaquant, le téléviseur atteint pourrait être utilisé pour une liste apparemment interminable d'actions malveillantes, y compris pour espionner l'utilisateur via le microphone et la caméra de l’appareil et s’infiltrer en profondeur au sein du réseau local. On estime que jusqu'à 90% des téléviseurs intelligents vendus au cours des dernières années étaient susceptibles d'être piratés. Tout comme dans l'exemple précédent, aucun signe extérieur n’alertait la victime de ce problème.

En février 2018, l'organisation américaine à but non lucratif Consumer Reports a publié les résultats de tests de piratage sur des téléviseurs connectés à Internet de cinq marques, chacune d'entre elles disposant d'une plateforme de télévision intelligente différente. « Des millions de téléviseurs intelligents peuvent être contrôlés par des pirates informatiques qui exploitent des failles de sécurité faciles à trouver », selon cette organisation. Les périphériques se sont avérés être sensibles à des piratages plutôt peu sophistiqués qui permettraient à un attaquant de basculer à travers les canaux, monter le volume à des niveaux de sonnerie, installer de nouvelles applications, et mettre l'appareil hors service Wi-Fi - tout en travaillant à distance, bien sûr.

L'étude a également révélé que les utilisateurs doivent consentir à la collecte de données très détaillées sur leurs habitudes de visionnage - à moins qu'ils ne soient prêts à renoncer à certaines des fonctions intelligentes de leur nouvelle télévision intelligente. Au fil des ans, on a constaté que plusieurs fabricants s'adonnent en coulisse à l'acquisition et au trafic de données sur les habitudes d'écoute des consommateurs.

Une écoute attentive

Les inquiétudes concernant les risques que les télés intelligentes peuvent faire planer sur la vie privée ont également été soulevées en 2015, alors que la fonction « reconnaissance vocale » de Samsung, qui permet de donner des commandes vocales à votre smart TV s’est retrouvée à l’avant-scène. La société a avisé ses clients qui utilisent la fonction d'activation vocale sur leur téléviseur intelligent que leurs conversations privées feraient partie des données saisies et pourraient être partagées avec des tiers. En outre, les informations vocales recueillies lors de ces furetages officiels n'étaient pas toujours chiffrées, ce qui pourrait permettre aux intrus d'écouter des conversations privées.

Tout compte fait, la cybersécurité continuera d’alimenter les conversations, car toute une gamme de préoccupations entourant la sécurité et la confidentialité persistent,  alors que de plus en plus de consommateurs optent pour un téléviseur intelligent. On prévoit que plus de 750 millions de téléviseurs intelligents seront utilisés dans le monde d'ici la fin de l'année 2018.

Les téléviseurs intelligents peuvent être utilisés à des fins plus souvent associées aux ordinateurs. En fait, voilà ce que ces téléviseurs sont devenus – de véritables « ordinateurs » connectés à Internet, à l’image des téléphones intelligents en quelque sorte. Nous devrions vraisemblablement les considérer comme tels et de les traiter en conséquence.