Tous les objets connectés chez soi à la merci des hackers

Les objets connectés dans les maisons posent un véritable problème de sécurité informatique. Mal protégés, ces périphériques sont des cibles de choix pour les pirates informatiques (ou hackers).

Pour le moment, les principaux piratages consistent à accéder aux objets connectés des particuliers et à utiliser leur puissance de calculs pour commettre d’autres larcins. Nous devenons malgré nous complices d’attaques informatiques de grande ampleur. En octobre 2016, un virus dénommé Mirai a infecté les caméras de sécurité, les consoles de jeux, les réfrigérateurs, les téléviseurs et d’autres objets connectés des foyers américains avant de paralyser de nombreux sites américains. Netflix, Spotify, CNN ou AirBnB ont vu leurs sites bloqués pendant plusieurs heures.

Un simple téléphone permet de pirater les objets connectés d’une maison / geralt Pixabay

Dans le futur, un pirate pourra nous faire chanter ou nous nuire en prenant à distance le contrôle de notre domicile. Vu les failles de sécurité actuelles des objets connectés, un téléphone ou un ordinateur équipé du bon logiciel et connecté au Bluetooth suffit à les pirater.  « Sans vouloir faire du roman de gare, nous pouvons imaginer qu’un pirate malveillant enferme quelqu’un dans son sauna et augmente brutalement la température », imagine Nicolas Arpagian, expert en cybersécurité. Les cas de prise de contrôle restent heureusement très rares à l’heure actuelle mais cette situation pourrait changer. « Les hackers obéissent à une logique de rentabilité. Quand ils verront un intérêt économique à pirater nos domiciles, ils le feront », avertit l’expert.

Les jouets connectés vous espionnent

Avec Noël qui approche, la poupée « Mon amie Cayla », l’ours en peluche Teddy Toy-Fi ou encore le robot i-Que attirent les regards des parents. Ces jouets 2.0 sont programmés pour interagir avec les jeunes enfants : écouter leurs questions et leurs apporter une réponse. Les jouets du futur  s’introduisent dans les foyers et, avec eux, les failles de sécurité.

Ces jouets connectés sont de véritables passoires informatiques. Un pirate peut facilement y accéder pour espionner les conversations de l’enfant et même diffuser ses propres messages. « Vous êtes à côté de la chambre de l’enfant qui utilise la poupée et vous téléchargez l’application pour interagir avec la poupée. Vous pouvez vous y connecter sans problème : Il n’y a ni code pin ni identifiant. C’est très mal sécurisé », explique Olivier Desbiey, du pôle Innovation & Prospective de la Commission Nationale Informatique et Liberté (Cnil). En décembre 2017, l’organisme de régulation a mis en demeure les constructeurs de jouets connectés afin de combler ces failles de sécurité.

 La sécurité soumise aux lois du marché

« Les entreprises font l’impasse sur la sécurité de ces objets car elles vendent du prêt à l’emploi. Les clients ne veulent pas s’embêter avec le paramétrage », détaille Julie Gommes, experte en cybersécurité pour un cabinet de conseil américain privé. « C’est la loi de l’offre et de la demande : tant que les clients ne réclament pas plus de sécurité, les entreprises n’investiront pas dedans », complète Nicolas Arpagian.

Ce dernier donne l’exemple de Samsung. La compagnie coréenne déconseille clairement de tenir une conversation privée à proximité de ses écrans. Ses téléviseurs sont une cible de choix pour les pirates tant qu’ils ne sont pas débranchés. Les hackers peuvent prendre le contrôle de la caméra intégrée et nous espionner. L’entreprise connait l’existence des failles de sécurité et en avertit ses clients par un simple avertissement écrit.

 Un mot de passe contre les pirates

Julie Gommes pointe la responsabilité et la crédulité du grand public. « Si vous avez peur que vos conversations soient espionnées, il ne faut pas installer un Google Home (enceinte avec une assistance vocale) au milieu de votre salon. » Une personne mal-intentionnée pourrait accéder au microphone de l’enceinte par Bluetooth et écouter en temps réel les conversations privées.  Pour Julie Gommes, les utilisateurs doivent prendre un peu de temps pour paramétrer les mots de passe des objets connectés. Cette habitude simple permet de limiter les risques de piratage.

Nicolas Arpagian préfère insister sur la responsabilité des entreprises et de l’État. La régulation doit aller vers une sécurisation obligatoire des systèmes connectés.

Aujourd’hui, cette régulation est importante car les hackers ne ciblent plus spécifiquement leurs victimes. Les pirates du net exploitent les failles de sécurité existantes : “ Je n’ai rien contre vous mais je peux vous pirater, donc je le fais ”. N’importe quel utilisateur devient potentiellement une cible. Pour pirater ces objets, le hacker doit simplement être à quelques mètres. Il n’y pas plus besoin d’erreur utilisateur comme ouvrir un spam ou cliquer sur un lien infecté pour pirater notre matériel.

Benjamin Campech

L’Europe, le bouclier de nos données

L’Europe s’est aperçue qu’il fallait cadrer l’usage des données afin d’éviter toute malhonnêteté de la part des organisations (publiques ou privées comme les entreprises ou les associations).

La courbe d’évolution de votre poids sur votre balance « smart », votre rythme cardiaque sur votre bracelet connecté, vos heures de présence à la maison dans votre thermostat intelligent, les premiers mots de votre bambin dans sa poupée didactique… Tant de données intimes collectées par des entreprises ou des associations.

En mai 2018, l’Europe renforce la sécurité de nos données personnelles grâce au nouveau règlement RGPD (règlement européen sur la protection des données) de sa réglementation 2016/679. Cette réglementation donne de nouveaux droits à tous les établissements européens équivalent à la CNIL française (Commission Nationale de l’Informatique et des Libertés). Ces établissements pourront dorénavant se coordonner entre-eux pour sanctionner les organisations ne respectant pas les principes de protection des données personnelles des utilisateurs.

Déjà aujourd’hui, la CNIL incite les organisations à vérifier la manière dont elles prélèvent des données, les traitent, les stockent et les sécurisent. Elle pousse les entreprises à se responsabiliser. Avec le RGPD, ces dernières devront être en mesure de prouver, à tout moment, que les mesures prises en interne sont conformes à la loi. En mai 2018, toutes les entreprises collectant les données d’au moins un ressortissant européen seront concernées.

Satisfaire les exigences de la CNIL

Les organisations devront réaliser des analyses évaluent les risques encourus par les données de ses utilisateurs en interne mais aussi chez ses sous-traitants. En Europe, les données sont considérées comme personnelles quand elles permettent d’identifier directement ou indirectement un individu (par exemple, le nom, le prénom, mais aussi son identifiant d’ordinateur ou de téléphone).

L’utilisation de données personnelles est jugée comme « frauduleuse » par la CNIL si elle ne répond pas aux grands principes suivants :

  • Finalité : « La gouvernance des données, au sein d’une entreprise, doit fixer le bon compromis entre les données nécessaires à l’activité et celles qui ne le sont pas », explique François Herlent, responsable de la Gouvernance de la Data à la MAIF.
  • Transparence et compréhensibilité : l’entreprise doit avoir expliquer de façon claire et précise, à ses utilisateurs, quelles sont les données qu’elle leur prélève.
  • Consentement : l’entreprise doit avoir demander l’accord de son client avant de prendre ses informations. Cela peut être une case à cocher en bas des conditions générales d’utilisation.
  • Ménagement des droits : l’usager peut réclamer ses droits de suppression des informations prélevées, de modification, d’accès aux données collectées ou encore de portabilité (c’est-à-dire de pouvoir prélever les informations) auprès de l’organisation.
  • Sécurité et intégrité des données : les données collectées doivent être sécurisées contre le piratage par l’organisation.

Les sanctions encourues

En 2014, la CNIL ne pouvait sanctionner une organisation qu’à hauteur de 150 000€. Depuis la loi Lemaire de 2016, la valeur de l’amende peut s’élever à 3 millions d’euros. En 2018, le RGPD donnera la possibilité aux institutions européennes de sanctionner une organisation à hauteur de 4% de son chiffre d’affaire mondial annuel. En cas de litige, la CNIL peut saisir le Conseil d’État. « Ça crédibilise considérablement la régulation et on a un véritable élément dissuasif sur la valeur pécuniaire. Ce n’était pas vraiment le cas  jusqu’à présent », apprécie Olivier Desbiey, du pôle Innovation à la CNIL.

Les autorités européennes ont mis du temps à rédiger le RGPD. Heureusement, ce texte délivre un message fort aux organisations pour lesquelles la cybersécurité « devient un vrai sujet» selon Nicolas Arpagian, expert en cybersécurité. Pour Olivier Desbiey, il faut maintenant mettre cette réglementation en pratique et cela va prendre du temps. 

Nos données de santé privilégient d’une sécurité plus forte

Rares sont celles et ceux qui souhaitent que leurs problèmes médicaux soient affichés au grand public, à leur voisinage ou à leur futur embaucheur. C’est pourquoi, « en France, les données de santé sont considérées comme sensibles dans la loi » explique Olivier Desbiey. Il est interdit de les collecter, sauf « s’il y a le consentement des individus et ces données doivent être stockées sur des serveurs particuliers très sécurisés ». Sur ces questions de confidentialité, l’hexagone est en avance sur de nombreux pays européens. «En France, on a la chance d’avoir une culture de la protection des données», constate Nicolas Arpagian, expert en cybersécurité.

 

Marie Alzon

La confidentialité des données, le vrai enjeu

Le volume de données personnelles collecté dans une maison connectée est une manne pour de nombreux groupes comme Google. Les utilisateurs doivent apprendre à distinguer les informations qu’ils souhaitent partager de celles qu’ils préfèrent garder pour eux.

« Le rachat de Nest [ndlr : entreprise américaine d’objets connectés] par Google n’est pas anodin. Google n’avait pas encore accès à la maison. C’est la brique qui lui manquait. » L’expert en cybersécurité, Nicolas Arpagian, rappelle que les données collectées chez nous représentent une richesse pour les entreprises. A l’heure actuelle, les habitants de maisons connectées devraient plus s’inquiéter de la confidentialité de leurs données que des risques de piratage.

« Avec les objets connectés chez soi, les données collectées deviennent nombreuses et corrélables. Certaines données paraissent neutres mais grâce au Big Data elles vous singularisent », détaille Nicolas Arpagian. Les entreprise du Net comme Google peuvent connaître avec précision notre personnalité et savoir à un moment précis notre état d’esprit. « Certains diront que cette stratégie des données permet de mieux nous connaître et de proposer des services adaptés. D’autres dénonceront un flicage permanent », affirme Nicolas Arpagian.

Trier ses données pour préserver son intimité

N’importe quel objet du quotidien devient un mouchard. L’expert donne l’exemple des bracelets connectés. Ces périphériques informent normalement les porteurs du nombre de pas réalisés dans la journée ou de leur fréquence cardiaque. Or, l’analyse de cette dernière donnée permet de savoir à quel moment les utilisateurs ont des relations sexuelles. Dans un couple, si les deux conjoints portent ces bracelets, les analystes peuvent même savoir si les deux amants sont fidèles.

La pulsation cardiaque du bracelet en dit long sur votre vie sexuelle / pxhere

Les utilisateurs n’ont pas toujours conscience des informations qu’ils donnent aux entreprises. Les experts parlent d’un changement de paradigme. « Avec Facebook, même si vous n’en avez pas conscience, vous avez fait la démarche personnelle de choisir ce que vous publiez. » Les objets connectés chez soi abreuvent en permanence les entreprises de données.

Pour Nicolas Arpagian et Julie Gommes, autre experte en cybersécurité, les utilisateurs doivent se responsabiliser. Chaque individu détermine les informations intimes qu’il est prêt à céder aux entreprises pour améliorer les services proposés et se simplifier la vie.

Tarifier son assurance « au juste prix »

De leur côté, certaines entreprises disent vouloir mettre en place une gouvernance vertueuse des données. François Herlent, responsable de cette gouvernance à la MAIF, met en avant la charte numérique élaborée par la société d’assurance mutuelle. Cette dernière affirme avoir « un usage très modéré » des données personnelles pour préserver la confiance de ses sociétaires. Par exemple, elle ne revend pas les données à des tiers.

Pour la maison connectée, la MAIF sait que les données récoltées peuvent être sensibles. Pour rassurer ses sociétaires, elle s’appuie sur un partenariat avec une entreprise tiers de télésurveillance, IMAPROTECT. Cette dernière prend en charge l’installation des capteurs à domicile, la surveillance et le traitement des données. Elle ne transmet à la MAIF que les informations nécessaires au bon fonctionnement de ses services. « La loi sur la collecte des données est assez contraignante. Aussi, la séparation est étanche entre nous et le prestataire. La MAIF assure, IMAPROTECT protège », précise François Herlent. Pour éviter les dérives, la société s’assure aussi que le prestataire utilise les données à bon escient et fixe certaines règles de conduite quant à l’utilisation de certains équipements de surveillance, comme les capteurs de son.

« Nous expérimentons la maison connectée avec, bien sûr, des sociétaires volontaires. Nous pouvons ainsi leur rendre service en leur proposant des offres adaptées. » Si un cambriolage a lieu malgré les équipements de sécurité connectés, l’indemnisation du sinistre sera plus favorable aux sociétaires. La MAIF considère qu’ils avaient pris toutes les précautions nécessaires pour protéger leurs domiciles.

Certains experts analysent la position des sociétés d’assurance avec recul. Ils craignent que les objets connectés servent de mouchards pour les assurances. Les « profils à risque » seraient contraints de payer un malus. Certains risqueraient même d’être exclus de leur compagnie d’assurance. François Herlent assure de son côté qu’il n’y aura pas de surtarification pour ces personnes. Les compagnies d’assurance disent préférer les actions de prévention et de sensibilisation.

Benjamin Campech