L’Internet des objets (IdO) améliore considérablement le confort de votre foyer. Grâce aux appareils intelligents qui se connectent à Internet, le café peut être prêt lorsque vous vous levez et le four peut réchauffer votre dîner lorsque vous rentrez chez vous. Vous pouvez contrôler la température et la qualité de l’air, verrouiller les portes et même avoir l’œil sur la maison lorsque vous êtes absent, le tout à partir de votre smartphone.
Cependant, l’IdO implique également que votre réfrigérateur, votre machine à café, votre système de chauffage et votre véhicule stockent tous des données personnelles. En fait, chaque appareil connecté de l’IdO est un collecteur de données. Donc, à moins que vous ne vouliez que d’autres personnes soient au courant de vos habitudes de vie, vous devrez sécuriser chaque appareil. Vous devrez sécuriser votre réseau, mais vous devrez également vous assurer qu’il n’y a pas de maillons faibles dans le réseau en vérifiant que chaque appareil est sécurisé individuellement.
Il existe plus de 7 milliards d’appareils de l’IdO dans le monde aujourd’hui, et ils constituent une cible alléchante pour les cybercriminels. Si votre maison est connectée, vous devez la protéger, et cet article vous explique la marche à suivre.
Il n’existe pas encore d’organisation mondiale chargée de définir des normes de sécurité pour les appareils de l’IdO. Il y a relativement peu de réglementations relatives aux appareils de l’IdO. Les autorités se préoccupent de la sécurité électrique et de l’efficacité énergétique de votre réfrigérateur, mais elles ne se soucient pas encore de savoir si celui-ci protège bien votre vie privée.
Comme l’Internet des objets se développe très rapidement, les fabricants sont soumis à une forte pression pour tirer parti de cette croissance en mettant sur le marché autant de produits que possible. Certains appareils sont mis en vente à la hâte sans que les questions de sécurité de l’IdO aient été suffisamment étudiées. Lorsque des appareils sont remplacés par de nouveaux produits, les fabricants ne s’efforcent pas toujours de les mettre à jour au moyen de correctifs de sécurité. Cette situation contraste fortement avec celle du matériel informatique et des logiciels, pour lesquels on s’attend à des mises à jour régulières de manière à remédier aux failles de sécurité et à améliorer leur fonctionnement.
Cependant, les pirates informatiques sont toujours actifs et de nouvelles menaces apparaissent sans cesse. Ainsi, une caméra de sécurité datant de cinq ans ou même un téléviseur intelligent datant de six mois pourraient présenter une vulnérabilité bien connue. Cela signifie que même des pirates informatiques peu expérimentés peuvent trouver un exploit sur Internet et l’utiliser pour s’introduire dans votre réseau.
Plusieurs cas de piratage informatique ont déjà été signalés, où des personnes ont réussi à prendre le contrôle de webcams, de caméras sur des ordinateurs portables et de systèmes d’écoute pour bébés. Toutefois, un cybercriminel pourrait également :
L’ampleur des botnets peut être dévastatrice. Déjà en 2016, le botnet Mirai a piraté des appareils de l’IdO et a réussi à créer une horde de 100 000 appareils de l’IdO détournés. Chaque appareil dispose peut-être d’une faible puissance de calcul, mais si vous en mettez 100 000 ensemble, les ressources à votre disposition sont considérables.
Le botnet Mirai a exploité une vulnérabilité classique : les propriétaires avaient laissé les noms d’utilisateur et les mots de passe par défaut sur les appareils, ce qui a facilité leur détournement. Il a ensuite lancé une attaque DDOS qui a entraîné la panne du fournisseur de services d’enregistrement de domaines Dyn.
Les créateurs de Mirai ont été retrouvés et mis derrière les barreaux. Toutefois, le botnet Mirai est toujours en mutation et constitue toujours une menace.
Tout d’abord, verrouillez la porte d’entrée, c’est-à-dire sécurisez votre routeur. Si un pirate informatique prend le contrôle de votre routeur, il pourra contrôler votre réseau, ce qui signifie qu’il pourra contrôler n’importe quel appareil dans votre maison, aussi bien les serrures que votre ordinateur.
Une fois que le réseau et les méthodes d’accès sont sécurisés, vous devez veiller à sécuriser chaque appareil de l’IdO individuellement. Là encore, la meilleure solution consiste à modifier le nom d’utilisateur et le mot de passe par défaut. Si un appareil ne vous permet pas de le faire, il constitue un trou important dans vos défenses. Il est recommandé de changer d’appareil. En fait, lorsque vous achetez des appareils pour maison intelligente, vous devriez prendre en compte les questions de sécurité des appareils de l’IdO au moment de la prise de décision d’achat, plutôt que de regarder uniquement les fonctionnalités.
Chacun de vos appareils de l’IdO a également besoin d’un mot de passe différent. En général, les pirates informatiques s’introduisent dans un réseau à partir d’un appareil et tentent ensuite d’étendre leur contrôle à d’autres appareils. Si tous vos réfrigérateurs et cafetières de l’IdO portent des noms différents de ceux des commandes de chauffage et des serrures de portes, un pirate informatique aura de la difficulté à étendre sa présence dans votre réseau IdO.
Vérifiez maintenant les paramètres de sécurité et de confidentialité par défaut. Si vous ne souhaitez pas que l’appareil puisse faire ou enregistrer quelque chose, vous devez pouvoir désactiver la fonction en question. Par exemple, vous pouvez envisager de désactiver les microphones de certains appareils si vous ne voulez utiliser aucune commande vocale sur ceux-ci. Cela empêchera quiconque d’écouter vos conversations.
En désactivant les fonctionnalités que vous ne voulez pas utiliser, vous réduisez les risques de sécurité liés au fait de laisser ouverts l’accès à distance ou les commandes vocales. Vous pouvez décider que certains appareils ne valent pas la peine d’être connectés. Si la possibilité de se connecter à Internet n’apporte aucun avantage, vous pouvez simplement désactiver la connexion.
Il existe une autre fonctionnalité que vous devriez désactiver : le protocole Universal Plug and Play (UPnP). Ce protocole permet aux appareils de se détecter les uns les autres automatiquement, tout comme le fait la fonctionnalité Plug and Play sur un PC qui permet d’installer automatiquement des périphériques, comme des imprimantes et des disques externes. Cependant, vous n’allez probablement pas beaucoup déplacer vos appareils, donc le protocole UPnP n’est probablement pas très utile. En revanche, il constitue un risque important pour la sécurité, car les vulnérabilités du protocole peuvent aider les pirates informatiques à identifier les appareils à partir de l’extérieur du réseau.
Votre maison intelligente vous fera économiser du temps et de l’énergie. Toutefois, vous devez prévoir un certain temps pour la maintenir correctement dans le cadre de votre stratégie de sécurité des appareils de l’IdO.
Le micrologiciel de chaque appareil doit être mis à jour. Lorsque vous installez des appareils, il est judicieux de mettre la page Web du fabricant dans vos favoris afin de pouvoir vérifier facilement s’il existe des mises à jour pour le micrologiciel et le logiciel de l’appareil. Si vous avez de la chance, vous recevrez une alerte par email ou les mises à jour seront effectuées automatiquement. Dans le cas contraire, vous devrez effectuer une recherche.
Certains appareils de l’IdO sont assez limités et ne se connectent qu’à votre réseau de contrôle. D’autres sont nettement plus intelligents. Et plus ils sont intelligents, plus le risque est élevé.
Faites donc attention à ce que vous connectez. Les haut-parleurs intelligents constituent un risque particulier pour la sécurité. Par exemple, si vos caméras de sécurité et vos serrures sont connectées à votre assistant vocal, un intrus pourrait simplement crier « Ok Google, ouvre les portes » et avoir accès à la maison. Si cela vous semble irréaliste, sachez que Burger King a diffusé une annonce qui activait délibérément les haut-parleurs Google Home et qui incitait ceux-ci à parler du Whopper Burger à leurs propriétaires. Google a fini par bloquer l’annonce.
Même s’il était ennuyeux, l’exploit de Burger King était inoffensif. Toutefois, il met en évidence une vulnérabilité qui est bien réelle et qui pourrait être utilisée à des fins criminelles.
On a également découvert des piratages qui permettent aux haut-parleurs de continuer à enregistrer une conversation après qu’une question a été posée et de transmettre le contenu à un espion. Il peut donc être souhaitable de conserver votre système de sécurité sur un réseau séparé auquel votre assistant vocal n’a pas accès. Vous pouvez également envisager de garder l’accès à votre compte bancaire à distance de l’appareil.
Rappelez-vous que les haut-parleurs et autres appareils intelligents stockent des données sur vous et votre comportement personnel. Il est intéressant de déterminer où ces données sont stockées et à quelles fins elles peuvent être utilisées (le service doit être accompagné d’une déclaration de confidentialité). Il est également utile de connaître la manière de supprimer les données que vous ne souhaitez pas conserver.
Avec Amazon et Google, vous pouvez facilement supprimer ces données. Dans le cas d’Amazon, utilisez votre application Alexa pour accéder aux paramètres et consulter l’historique afin de connaître le contenu enregistré. Vous pouvez effacer des demandes individuelles ou simplement les supprimer toutes. Les enregistrements de l’Assistant Google peuvent être inspectés et supprimés par l’entremise de votre compte Google. Il pourrait être judicieux de procéder régulièrement à un nettoyage.
Les téléviseurs intelligents peuvent également contenir beaucoup de données sur le contenu que vous regardez.En 2017, le fabricant de téléviseurs Vizio a été condamné par la Comission fédérale du commerce (FTC) à une amende parce qu’il avait suivi les habitudes de visionnage des propriétaires de téléviseurs et avait ensuite vendu les informations aux annonceurs. Il est également assez facile de pirater certains téléviseurs intelligents. Donc, si Vizio collectait ces informations, il est tout à fait possible que des pirates informatiques aient également pu mettre la main sur ces données. Maintenant que les téléviseurs et les réseaux Internet se croisent, les téléviseurs intelligents pourraient également constituer une menace à la confidentialité de vos données sur d’autres comptes. Assurez-vous de lire le manuel, car il se peut que vous puissiez désactiver le suivi. Vous pourriez également envisager d’isoler la télévision sur son propre réseau.
Articles connexes
Le piratage de véhicules et comment se protéger