Quelques jours. C’est le temps qu’il a fallu à Martin Hron, un expert tchèque de la cybersécurité, travaillant aujourd’hui chez Avast, pour hacker une cafetière connectée. À distance, ce développeur aguerri a réussi à prendre le contrôle de la machine, la faisant cracher de la vapeur et de l’eau, comme possédée, tout en affichant un petit diablotin et une demande de rançon sur son écran numérique. Seule solution pour calmer l’engin : le débrancher. L’histoire peut prêter à sourire lorsqu’il s’agit d’une simple cafetière, évidemment. Sauf que des objets connectés, il y en a aujourd’hui beaucoup. Ces appareils deviennent progressivement omniprésents dans nos vies, et cela ne fait que commencer : selon un rapport du cabinet 451 Research de 2019, le monde compte aujourd’hui plus d’objets connectés que d’humains. Difficile de savoir combien ils seront en 2025 ou en 2030, tant les études et projections sont nombreuses et variées sur le sujet. Une chose est sûre : cela se comptera en dizaines de milliards.

Neuf fois plus de piratages en un an

Cette pauvre cafetière n’est pas la seule à avoir subi un piratage. D’innombrables objets connectés peuvent être hackés. Fin 2018, un autre consultant IT/cybersécurité, Werner Shober, avait mis en garde contre la facilité de prendre le contrôle de sextoys connectés. De l’anecdote, la situation peut rapidement dégénérer, si le pirate a par exemple l’intention de nuire, en s’attaquant à une maison connectée, de la domotique, voire des dispositifs médicaux. « Dans le cas de la cafetière, c’est plus ou moins bénin », confirme Ahmed Bouabdallah, enseignant-chercheur en cybersécurité à l’école d’ingénieurs IMT Atlantique, « mais si l’objet connecté est une pompe mesurant et injectant directement l’insuline, par exemple, cela peut rendre le patient très vulnérable. Idem pour  l’utilisateur d’une voiture autonome et connectée… ». Un risque grave, à avoir en tête.

Ce phénomène de piratage prend d’ailleurs de l’ampleur : l’entreprise Kaspersky estime que ces attaques, tous objets confondus, ont été multipliées par neuf entre 2018 et 2019. « La problématique de nombreux objets connectés est qu’ils sont parfois conçus par des start-ups aux enjeux de financement serrés, qui visent avant tout à prouver que le produit fonctionne, pour lever des fonds et industrialiser rapidement. La sécurité n’est alors pas toujours intégrée d’emblée. À partir de là, on se retrouve avec des objets non « sécurisés by design« , avec des fabricants et des investisseurs pas assez sensibilisés à ce sujet », pointe Jacques de la Rivière, CEO de la société spécialiste en cybersécurité Gatewatcher. Dans ce cas, il sera difficile de sécurisé a posteriori l’appareil.

Sachez quels types d’informations personnelles vous sont demandées par ces applications.

Des conseils pour les utilisateurs

Alors, en tant que consommateur, comment savoir quel objet pourra être ou non sécurisé, par exemple lorsque l’on s’offre une montre, une balance, une ampoule ou une enceinte connectée ? « C’est toute la difficulté, on ne peut pas avoir une réelle réponse à cette question ! Je dirais néanmoins que les objets achetés pas chers et importés de pays hors de l’Union européenne doivent appeler à la méfiance. Nous avons tout de même ici une règlementation sur le sujet. Un appareil acquis auprès d’un fabricant réputé aura des normes de sécurité a priori raisonnables mises en œuvre. La Cnil est aussi un bon site pour s’informer sur le sujet », recommande Vincent Roca, chercheur à l’Inria, spécialiste de la vie privée. Il met néanmoins en garde : aucun produit ne peut garantir une sécurité totale.

Pour un particulier, que faire ? Première étape : prendre conscience du risque. « Tout est une question d’évaluation du bienfait apporté par l’objet connecté, en prenant en compte le risque qu’il comporte. C’est ensuite un choix personnel de l’acheter et de l’utiliser. On peut bien sûr limiter ce risque, avec des petites habitudes essentielles, permettant de sécuriser davantage l’équipement : changer les mots de passe par défaut, bien les mettre à jour et être en mesure de les débrancher si cela est nécessaire », suggère Jacques de la Rivière, de Gatewatcher. La section de Portland du FBI a elle aussi publié des recommandations en décembre 2019, sur son site, à ce sujet. Ces dernières rejoignent ce qui vient d’être dit : des mots de passe uniques et « les plus longs possibles ». Un réseau sécurisé pour les appareils connectés, différent de celui utilisé par l’ordinateur. Une mise à jour permanente de tous les objets. Et une attention aux paramètres des applications sur son smartphone, auquel les différents équipements connectés se lient souvent. « Sachez quels types d’informations personnelles vous sont demandées par ces applications », pointe le Bureau. Autre réflexe à développer : placer un cache ou un scotch opaque sur chaque caméra. Celle d’une console de jeu ou le micro d’un Google Home peut épier ce qui se passe dans une maison, sans même que son propriétaire ne le sache.

Certains peuvent être réellement utiles, par exemple offrir davantage d’autonomie à des personnes âgées ou en situation de handicap. D’autres le sont peut-être moins.

Vincent Roca, de l’Inria

L’utilité de chaque objet connecté

À l’heure où les fêtes de fin d’année approchent, où de larges promotions se lancent sur les objets connectés, la question de l’utilité réelle de chaque équipement se pose également. « Au-delà du piratage, je suis préoccupé par la multiplication de collecte de données à caractère personnel. Je pense qu’il faut se demander le bénéfice à attendre de chaque objet. Certains peuvent être réellement utiles, par exemple offrir davantage d’autonomie à des personnes âgées ou en situation de handicap. D’autres le sont peut-être moins », s’interroge Vincent Roca, de l’Inria. Le four, le frigo, le micro-onde, la lampe, la poupée du bambin, doivent-ils être connectés ? La question est posée.

La 5G, qui vient de se lancer en France, pourrait accélérer la croissance déjà exponentielle de ce marché juteux. « Les objets connectés vont en effet se banaliser, souvent à notre insu. La 5G offre une capacité de communication à des milliards d’équipements. Nous allons vivre une augmentation non maîtrisée du nombre de ces objets, qui seront partout d’ici quelques années », s’alarme Ahmed Bouabdallah. Il conclut : « Sur ce marché, la sécurité, c’est sûr que c’est pénible, ça coûte cher, ça ralentit. Mais, comme une assurance, le jour où l’on a un pépin, on est bien content de l’avoir ».

Laura Makary
Laura Makary
Plume Journaliste