Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Big Brother vous regarde par le trou de la… sonnette !

Par Jean-François Gazaille
camera-securite-sonette-2

Vous voulez vraiment que vos données personnelles circulent à tout vent ou qu’un petit malin manipule votre système de climatisation ? Non ? Alors, méfiez-vous de vos objets connectés !

Dans son numéro de septembre, le magazine belge Test Achats démontre que plusieurs appareils intelligents, télécommandés par l’entremise du téléphone, de l’ordinateur ou de la tablette, comportent de sérieuses failles de sécurité.

Appuyé par deux chercheurs de l’Université catholique de Louvain, Test Achats a analysé la sécurité de 16 objets connectés de catégories diverses : des sonnettes aux aspirateurs robots en passant par les routeurs… et même les jouets érotiques !

Pendant un mois et demi, l’équipe a notamment suivi les flux de données sortantes. Résultat : les chercheurs ont repéré 54 vulnérabilités, dont 14 considérées «critiques» ou «très graves». Plus inquiétant encore, ces vulnérabilités ont été observées sur 10 des 16 appareils.

Ces appareils transmettent aux serveurs des fabricants – souvent situés dans des pays peu respectueux de la confidentialité des renseignements personnels – une foule de données non cryptées (mots de passe, adresse électronique, numéro de série, etc.).

Pour la plupart des produits testés, les flux d’information se distribuent vers 20 à 40 serveurs, mais le téléviseur connecté analysé communique avec 232 serveurs répartis dans 12 pays !

Les deux mains sur le volant

Toute intrusion dans ces échanges permet aux hackers futés de s’emparer des informations qui circulent, de les employer à leurs propres fins ou de les revendre, rappelle Test Achats. «Grâce à l’infonuagique, il y a désormais plein de pirates qui louent leurs services de détection sur le dark net», explique Marc-Olivier Killijian, professeur au département d’informatique de l’UQAM.

Un objet connecté mal sécurisé peut servir de passerelle vers d'autres appareils de votre réseau domestique. Un pirate peut ainsi perturber votre Wi-Fi, rendre vos appareils inutilisables ou les employer contre vous.

Déjà, en 2015, le magazine américain Wired démontrait qu’il était facile de prendre les commandes d’un véhicule en s’infiltrant par… la radio ! Plus tôt cette année, le magazine britannique Which ? rapportait que les images captées par certaines sonnettes de vidéosurveillance pouvaient être subtilisées par des tiers.

Moins chers et moins sûrs ?

Le reportage de Test Achats réitère également, avec un bémol, une évidence maintes fois démontrée : un article plus cher offert par un fabricant réputé affiche généralement plus de caractéristiques de sécurité qu’un appareil bon marché d’une marque inconnue et vendu en ligne.

Cela n’empêche pas, par exemple, un moniteur pour bébé haut de gamme de Motorola d’être «très mal protégé», précise Test Achats.

«Les manufacturiers font des compromis sur la sécurité pour lancer rapidement le tout dernier produit, explique Robert Laurin, chargé de cours au Centre de formation en technologies de l’information de l’Université de Sherbrooke. Ils se disent qu’ils pourront améliorer les dispositifs sécuritaires avec la deuxième ou la troisième version.»

Selon M. Laurin, lui-même adepte de domotique, il est préférable d’acheter un produit offert par «un manufacturier responsable» et «géographiquement plus accessible». «Il y a au Québec des entreprises qui produisent des objets connectés plus chers, mais plus sécuritaires.»

N’empêche, la réglementation canadienne actuelle est insuffisante. «Il faudrait que les fabricants soient régis par un contrat plus légal que moral, plaide-t-il. La loi devrait exiger le cryptage des données qui sortent des objets connectés.»

Mises à jour utiles… ou pas ?

Les objets connectés comportent souvent des microprocesseurs bon marché, ce qui nécessite des mises à jour régulières. «Les fabricants n’en prévoient pas toujours, ou elles sont insuffisantes, ou les consommateurs ne les font pas», déplore Marc-Olivier Killijian.

«Et il est toujours possible que les mises à jour génèrent de nouvelles vulnérabilités», note Pierre-Martin Tardif, professeur à l’École de gestion de l’Université de Sherbrooke et spécialiste en cybersécurité.

Donc, peu importe son prix d’achat, tout objet connecté peut tôt ou tard tomber sous la coupe d’un hacker, sans que les lois canadiennes actuelles n’y puissent quoi que ce soit…

«Techniquement le mal est fait, dit M. Killijian. Même si on attrape le pirate et qu’on arrive à détruire les données qu’il vous a dérobées, il est trop tard : elles auront déjà été partagées sur le dark web

Comme il n’y a malheureusement «aucun moyen de savoir si votre sonnette intelligente ou votre babyphone est sécurisé ou non», déplore Test Achats, vous pouvez limiter les risques en appliquant les conseils suivants :

• Achetez un modèle de marque réputée ou locale ;

• Évitez les appareils bon marché ;

• Modifiez le nom de votre réseau Wi-Fi ;

• Remplacez tout mot de passe par défaut par un mot de passe fort et unique ;

• Faites les mises à jour dès qu’elles sont disponibles ;

• Activez l’authentification à deux facteurs si elle est proposée ;

• Utilisez l’Ethernet si possible ;

• Éteignez les appareils inutilisés pendant une longue période.

S’il souscrit à ces conseils, Marc-Olivier Killijian invite les consommateurs à soupeser les avantages de ces équipements. «Quelle est la plus-value d’avoir un moniteur pour bébé connecté à Internet ? Est-ce que le risque en vaut la peine ?»

Or, l’Internet des objets, ou l'interconnexion entre l'Internet et des objets, est un marché mondial de 300 milliards de dollars américains qui ne s’embarrasse pas de ces doutes. «Il y a 20 milliards d’objets connectés sur la planète, et ça va juste aller en croissant», prédit Pierre-Martin Tardif.

  Ajouter un commentaire

L'envoi de commentaires est un privilège réservé à nos abonnés.

Il n'y a pas de commentaires, soyez le premier à commenter.