Exploitation des données à caractère personnel, piratage… la sécurité des équipements connectés est un sujet sensible. Le point sur un marché en pleine expansion et les moyens de se protéger.
Quels sont les objets connectés de la maison ?
Les objets connectés, dits aussi "intelligents", envahissent les foyers et les objets du quotidien. Qu’il s’agisse de renforcer la sécurité de son domicile, maîtriser sa consommation d’énergie ou améliorer son confort au quotidien, le nombre d’équipements connectés - exemple d'objets : téléviseurs, réfrigérateurs, assistants vocaux, alarmes, caméras, thermostats, éclairages, détecteurs de fumée, etc. - augmente de façon exponentielle et ce n’est sans doute qu’un début. D’après une étude menée par Gartner et l’Idate,
entre 50 et 80 milliards d’objets seront connectés dans le monde d’ici 2020, contre 15 milliards à l’heure actuelle.
Comme le souligne la dernière édition du Baromètre Qualitel-Ipsos, ce sont les
équipements connectés autour de la sécurité pour la maison qui sont les plus plébiscités. Les
systèmes d’alerte anti-intrusion (détecteurs de mouvement, caméras de surveillance…) équipent 21% des logements, suivis des
caméras de vidéo-surveillance (15%) ou encore des
modules de pilotage du chauffage à distance pour réaliser des économies d'énergie (11%).
La France est le troisième marché de la maison connectée du monde derrière les États-Unis et la Chine (source Gartner et Idate). Au total, trois habitats sur dix possèdent au moins un objet connecté, comme l'assistant vocal qui commence à faire irruption dans nos salons…
L’avis de l’expert*
"Il existe
trois principaux risques de piraterie sur les objets connectés : le vol de données personnelles, la prise de contrôle à distance et l’intrusion dans le réseau du foyer qui donnent potentiellement l’accès à tous les appareils qui y sont reliés. Avant de choisir un équipement, il est très important de vérifier sur Internet si des vulnérabilités ont déjà été détectées sur ce produit."
* Gauthier Vathaire, responsable des produits grand public de Bitdefender.
Une situation inquiétante : comment les objets connectés nous espionnent-ils ?
Dans ce secteur d’activité, certains fabricants commercialisent (par manque d’expertise ou pour des raisons économiques) des équipements vulnérables à toutes sortes de failles et ne pouvant souvent pas être mis à jour.
Piratages,
vols de données personnelles,
prise de contrôle à distance (caméras, alarmes, serrures connectées…), la moindre faille de sécurité peut servir de porte d’entrée à un "intrus" et exposer les utilisateurs à de graves atteintes pour leur sécurité et leur vie privée.
Outre ces types de risque et problèmes de sécurité pas suffisamment réglés et verrouillés par les fabricants, ce sont les
mauvaises pratiques de certains acteurs du marché qui ont entamé la confiance des consommateurs. Les multiples scandales mettant en cause les
GAFA (Google, Apple, Facebook, Amazon) dans des affaires de
fuites massives de données personnelles ou d’atteintes à la vie privée de leurs utilisateurs ont largement contribué à créer un climat de méfiance vis-à-vis des objets et des services connectés. Les utilisateurs craignent que certains équipements comme les fameuses enceintes vocales intelligentes (Amazon Echo, Google Home, Apple HomePod…) ne se transforment en mouchards pour les géants de l’industrie high-tech.
Quels sont les objets connectés?
Les modèles d’
enceintes intelligentes Google Home se sont déjà écoulés à plusieurs millions d’exemplaires. Certes pratiques au quotidien, il n’en demeure pas moins qu’elles peuvent se transformer en oreille indiscrète à l’insu de ses utilisateurs.
Produits connectés
Les
systèmes de surveillance autonomes, souvent associés à des services d’enregistrement des vidéos sur le cloud arrivent en tête des équipements les plus piratés. Fort de ce constat, il est impératif de privilégier de grandes marques et de vérifier quelle est leur politique en matière de protection des données.
Des défaillances connues liées à l’utilisation de dispositifs et gadgets connectés
Au cours de ces dernières années, les spécialistes de la sécurité informatique ont démontré à de nombreuses reprises les risques inhérents à l’utilisation de dispositifs connectés à Internet mal sécurisés. Malgré leurs avertissements, les problèmes perdurent, et se font même de plus en plus nombreux à mesure que le taux d’équipements d’objets connectés augmente.
Parmi les
défaillances courantes figurent :
- les identifiants de connexion identiques intégrés par défaut en usine sur certains appareils,
- la mauvaise gestion des codes d’accès privé aux services en ligne (caméras de vidéo-surveillance, routeurs…),
- l’absence de sécurisation des informations d’identification qui apparaissent en clair sur Internet.
Dans ce contexte, il est impératif de prendre toutes les mesures nécessaires afin de limiter les risques. Avant toute chose, il est important de bien
se renseigner sur le fabricant d’un objet connecté et
sa politique en matière de sécurité. Des rapports concernant les vulnérabilités des objets connectés détectées sont régulièrement publiés sur Internet.
Si la responsabilité des industriels est connue, la
responsabilité des utilisateurs est également à prendre en compte. Trop nombreux sont ceux qui négligent encore la sécurité en conservant l’identifiant et le mot de passe par défaut (exemple : admin/admin) de leurs appareils connectés. Grâce à des outils de scan réseau, les pirates parviennent à trouver facilement ces identifiants et à prendre le contrôle de dizaines de milliers d’objets pour mener des attaques de grande ampleur. L’hébergeur web français OVH a notamment été victime d’une attaque en déni de service du tristement célèbre logiciel malveillant (malware) Mirai qui reposait sur plusieurs milliers d’objets connectés détournés.
Pour se rendre compte de l’absence de sécurité d’innombrables objets connectés, il suffit de se rendre sur le
moteur spécialisé Shodan (www.shodan.io). Cet outil (seulement en anglais) d’une efficacité impressionnante permet notamment de rechercher des caméras de surveillance défaillantes à travers le monde et d’accéder en quelques clics à leur flux vidéo.
Les systèmes qui pilotent les équipements de la maison comme le chauffage stockent de nombreuses informations personnelles : localisation, nombre de personnes dans le foyer, etc. Certains fabricants assurent par exemple qu’il conserve le minimum d’informations requises et supprime les données inutiles. Le transfert et le stockage de données sont par ailleurs rendus anonymes et cryptés pour éviter toutes fuites.
Comment sécuriser les objets connectés ? Les mesures à prendre pour protéger ses objets connectés
Modifier les identifiants par défaut
L’utilisation des objets connectés n’est pas sans risque et nécessite de prendre un maximum de précautions. La première chose à faire est de modifier les identifiants d’accès à l’application ou au service en ligne associés aux équipements connectés en instaurant un
mot de passe fort, mariant majuscules, minuscules, chiffres et caractères spéciaux.
Sécuriser et chiffrer le réseau Wi-Fi
Bien sécuriser le réseau Wi-Fi sur lequel sont reliés les objets connectés s’avère également primordial. Là encore, il faut modifier les identifiants d’accès par défaut à la box ou au routeur Wi-Fi, et opter pour un protocole de sécurité fiable comme le WPA-2 qui protège les connexions entrantes et sortantes avec des clés de cryptage. À noter que certains éditeurs de logiciels antivirus tels que Norton, F-Secure ou Bitdefender proposent des routeurs de sécurité spécifiquement conçus pour protéger l’ensemble des objets connectés dans le foyer et bloquer les éventuelles menaces.
Effectuer les mises à jour
Pour que les appareils bénéficient de la meilleure sécurité possible, il est indispensable de veiller à toujours effectuer les mises à jour proposées par les fabricants et les éditeurs et les prestataires de services. Elles permettent de
corriger les éventuels défauts de conception et les failles de sécurité de leurs produits.
Mais attention, car au bout d’une période plus ou moins longue, les fabricants n’assurent plus le support et donc les mises à jour des appareils. Dans ce cas-là, les risques augmentent considérablement notamment pour les
dispositifs sensibles (alarmes, caméras…) qui ne sont plus protégés et deviennent de fait potentiellement vulnérables aux cyberattaques.
S’informer sur les failles de sécurité
Très pratique, le site www.cvedetails.com permet de
vérifier très simplement si des failles de sécurité ont été détectées sur tel ou tel appareil. Cette mesure de précaution est particulièrement importante à prendre en compte avec les équipements anciens ne recevant plus de correctifs. Pour effectuer une recherche, il suffit d’indiquer dans la zone de recherche le nom et la marque de l’appareil.
Certains éditeurs comme Bitdefender, Norton, ou F-Secure proposent des
routeurs de sécurité qui se connectent à la box du foyer pour protéger l’ensemble des objets connectés. Ces dernières alertent l’utilisateur lorsqu’une mise à jour d’un appareil est disponible et bloquent les tentatives d’intrusion sur le réseau.
Les obligations en matière de protection des données
Depuis le 25 mai 2018, le règlement général pour la protection des données (
RGPD) est entré en vigueur simultanément dans les 28 pays membres de l’Union européenne. Pas toujours très bien comprise, cette directive vise à renforcer la protection des données personnelles des Européens et responsabiliser les acteurs traitant les informations.
- Qu’elles soient publiques ou privées, toutes les organisations amenées à traiter des données à caractère personnelles doivent s’y soumettre. Cela concerne les noms, photos, adresses IP, numéros de téléphone, identifiants de connexion, adresses postales, numéros de sécurité sociale, etc.
- Le RGPD prévoit un cadre spécifique pour les données dites sensibles pouvant être discriminatoires comme une opinion politique, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une sensibilité religieuse, une situation médicale... La réforme interdit formellement leur collecte sans consentement écrit préalable, clair et explicite. Autre évolution importante, les cybercitoyens ont désormais le droit à l’effacement de leurs données en ligne sur simple demande.
- Dans le cadre des objets connectés, les fabricants se doivent désormais de stocker toutes les données collectées dans un système d’information sécurisé et crypté.
- Parmi les nombreuses règles à respecter, ils ont également l’obligation de communiquer lorsqu’ils sont victimes d’une faille de sécurité ou de vols de données personnelles sur leurs serveurs. En cas de non-respect de la loi, les entreprises peuvent être soumises à de très lourdes sanctions.
- Contrairement aux idées reçues, le RGPD ne s’applique pas uniquement aux fabricants européens, mais à tous ceux qui vendent des produits en Europe, quelle que soit leur origine.
- La plupart des spécialistes s’accordent à dire que l’application du nouveau règlement est un progrès, mais il ne suffit pas à protéger les consommateurs. Pour plus de sécurité, il est impératif que les fabricants ne se contentent pas de se mettre en conformité avec le RGPD, mais qu’ils implémentent des solutions de sécurité dès la conception de leurs produits.
Liste de quelques sites officiels à connaître
- www.cnil.fr/fr/rgpd-par-ou-commencer
- www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd
[
]