Image générée par IA1
Votre aspirateur robot connaît le plan exact de votre appartement. Votre enceinte connectée écoute (presque) en permanence ce qui se dit dans votre salon. Votre ampoule connectée sait à quelle heure vous vous couchez. Et votre montre connectée connaît votre rythme cardiaque mieux que votre médecin.
Bienvenue dans le monde merveilleux de l’Internet des Objets, ou IoT (Internet of Things). Des objets du quotidien qui deviennent “intelligents” en se connectant à Internet. Pratiques ? Souvent. Inoffensifs ? Pas toujours.
L’IoT, c’est quoi exactement ?
L’IoT, c’est tout simplement le fait de connecter à Internet des objets qui, à la base, n’avaient pas vocation à l’être. Une ampoule, ça éclaire. Une ampoule connectée, ça éclaire ET ça communique avec votre téléphone, le serveur du fabricant, et parfois bien d’autres choses.
Aujourd’hui, la liste des objets connectés est vertigineuse : caméras de surveillance, thermostats, réfrigérateurs, montres, balances, serrures de porte, baby-phones, jouets pour enfants, aspirateurs, arroseurs de jardin… Si ça existe, quelqu’un a probablement essayé de le connecter à Internet.
Le problème, c’est que cette course à la connexion s’est souvent faite au détriment de la sécurité. Et c’est là que les ennuis commencent.
Les risques insoupçonnés
Des mots de passe par défaut jamais changés
C’est le péché originel de l’IoT. La majorité des objets connectés sont livrés avec un mot de passe par défaut du type “admin/admin” ou “1234”. Et la majorité des utilisateurs ne les changent jamais.
Le résultat ? Des bases de données entières de mots de passe par défaut circulent sur Internet, classées par marque et modèle. Un attaquant n’a même pas besoin de “pirater” quoi que ce soit : il lui suffit d’essayer le mot de passe d’usine. C’est comme si vous achetiez une maison neuve et que vous ne changiez jamais la serrure, alors que le constructeur utilise la même clé pour toutes ses maisons.
Pour éviter ça, le réflexe est le même que pour tous vos comptes : choisir un bon mot de passe et le changer dès la première utilisation.
Des mises à jour rares, voire inexistantes
Votre téléphone reçoit des mises à jour de sécurité tous les mois. Votre ordinateur aussi. Mais votre caméra connectée achetée 30 euros sur Internet ? Il y a de fortes chances que le fabricant n’ait jamais publié la moindre mise à jour depuis sa commercialisation.
Comme on l’explique dans notre article sur l’importance des mises à jour, chaque faille non corrigée est une porte ouverte pour les attaquants. Et dans le monde de l’IoT, les portes ouvertes sont légion.
Pire encore : certains fabricants disparaissent ou cessent le support de leurs produits au bout de quelques années. Votre objet connecté continue de fonctionner, mais plus personne ne corrige ses failles. C’est un peu comme rouler avec une voiture dont le constructeur aurait fait faillite : plus de rappels, plus de pièces, plus de réparations.
Des micros et caméras toujours actifs
Votre enceinte connectée (Alexa, Google Home, Siri…) a besoin d’écouter en permanence pour détecter son mot d’activation (“Alexa”, “Ok Google”, “Dis Siri”). Cela signifie que le micro est toujours allumé, en attente. Et il arrive que ces appareils s’activent par erreur et enregistrent des conversations privées.
Plusieurs affaires ont révélé que des employés de ces entreprises écoutaient des extraits de conversations pour “améliorer la reconnaissance vocale”. Rien de très rassurant quand on sait que ces enceintes sont souvent placées dans le salon ou la chambre.
Pour les caméras connectées, le risque est encore plus direct : des chercheurs en sécurité ont démontré que des milliers de caméras domestiques sont accessibles en ligne sans aucune protection, simplement parce que leurs propriétaires n’ont jamais changé le mot de passe par défaut. Des sites web répertorient même ces flux vidéo en libre accès, classés par pays.
Des données envoyées au fabricant
Votre aspirateur robot qui cartographie méticuleusement votre appartement ? Ces données sont souvent envoyées aux serveurs du fabricant. Votre thermostat connecté qui apprend vos habitudes de chauffage ? Le fabricant sait quand vous êtes chez vous et quand vous êtes absent. Votre balance connectée ? Quelqu’un à l’autre bout du monde connaît votre poids.
La question est simple : avez-vous vraiment besoin que le fabricant de votre ampoule sache à quelle heure vous allumez la lumière de votre chambre ?
Une porte d’entrée sur votre réseau domestique
Et c’est peut-être le risque le plus sournois. Un objet connecté mal sécurisé ne met pas seulement en danger les données qu’il collecte : il peut servir de porte d’entrée vers tout votre réseau domestique.
Imaginez votre réseau comme un appartement. Chaque appareil connecté est une pièce. Si un cambrioleur entre par la fenêtre de la buanderie (votre ampoule connectée mal sécurisée), il a ensuite accès à tout l’appartement : le salon (votre ordinateur), la chambre (votre téléphone), le bureau (vos fichiers personnels).
En 2016, l’attaque “Mirai” a transformé des millions d’objets connectés (principalement des caméras et des routeurs) en une armée de robots qui a paralysé une partie d’Internet. Les propriétaires de ces objets n’en avaient aucune idée.
Comment sécuriser ses objets connectés
Changez les mots de passe par défaut
C’est la règle numéro un, la plus simple et la plus importante. Dès que vous installez un objet connecté, changez immédiatement le mot de passe par défaut. Choisissez un mot de passe unique et solide, comme pour n’importe quel autre compte. Votre gestionnaire de mots de passe peut très bien stocker le mot de passe de votre caméra ou de votre thermostat.
Mettez à jour le firmware
Le firmware, c’est le logiciel interne de l’objet. Quand le fabricant propose une mise à jour, installez-la sans tarder. Si l’objet propose des mises à jour automatiques, activez-les. Et avant d’acheter un objet connecté, vérifiez que le fabricant a une politique claire de mises à jour. Un fabricant qui ne met jamais à jour ses produits est un fabricant à éviter.
Séparez votre réseau IoT
Si votre box Internet le permet (et c’est le cas de beaucoup de box récentes), créez un réseau Wi-Fi séparé pour vos objets connectés. Beaucoup de box proposent un réseau “invité” : utilisez-le pour vos objets IoT.
Ainsi, même si un de vos objets connectés est compromis, l’attaquant n’aura pas accès à votre ordinateur et à votre téléphone, qui seront sur le réseau principal. C’est comme mettre une porte blindée entre la buanderie et le reste de l’appartement.
Désactivez les fonctions inutiles
Votre enceinte connectée n’a pas besoin d’être allumée quand vous dormez. Votre caméra intérieure n’a pas besoin de fonctionner quand vous êtes à la maison. La plupart des objets connectés offrent des options pour désactiver le micro, la caméra ou certaines fonctionnalités quand vous n’en avez pas besoin.
Prenez aussi le temps de vérifier les paramètres de confidentialité dans l’application associée à chaque objet. Désactivez le partage de données “pour améliorer nos services” si l’option existe.
Faites le tri
Avez-vous vraiment besoin que votre grille-pain soit connecté ? Avant chaque achat, posez-vous la question : est-ce que la connexion à Internet apporte une vraie valeur ajoutée, ou est-ce juste un argument marketing ? Moins vous avez d’objets connectés, moins vous avez de surface d’attaque.
Conclusion
Les objets connectés apportent un confort indéniable. Mais chaque objet connecté est aussi un appareil qui collecte des données, qui communique avec l’extérieur, et qui peut potentiellement être compromis.
Les bons réflexes à retenir :
- Changez systématiquement les mots de passe par défaut.
- Mettez à jour le firmware de vos objets dès qu’une mise à jour est disponible.
- Créez un réseau Wi-Fi séparé pour vos objets connectés.
- Désactivez les fonctions (micro, caméra, partage de données) quand vous n’en avez pas besoin.
- Réfléchissez avant d’acheter : chaque objet connecté est une responsabilité supplémentaire.
Vos objets connectés n’ont pas à devenir des espions. Il suffit de leur rappeler qui est le patron.