Les maisons connectées ont un problème : elles ne sont pas encore très sécurisées. Ce manque de sécurité n’empêche pas les gens d’ajouter de plus en plus d’objets connectés dans leur maison. D’ici la fin de l’année 2017, IHS Markit estime que 20,350 milliards d’objets seront connectés. D’ici 2025, ce chiffre devrait quasiment quadrupler pour atteindre 75,440 milliards. Aux vues de cet engouement, la question du manque de sécurité est aussi un enjeu considérable pour les futurs propriétaires de ces appareils, les fabricants, et quasiment tout le monde sur Internet.
Les problèmes des objets connectés dédiés à la domotique
Les objets connectés pour la maison ont régulièrement des failles. L’Economist Intelligence Unit a constaté que 80 % des appareils qu’elle a analysés n’exigeaient pas de protection suffisante par mot de passe et présentaient des problèmes de confidentialité. De plus, 70 % des appareils ne chiffraient pas les données de l’utilisateur, envoyées sur le réseau.
Que s’est-il passé pendant les attaques par DDoS ?
Les attaques par DDoS et l’apparition du botnet Mirai sont les preuves que les problèmes d’objets connectés en domotique sont bel et bien passés de la théorie à la réalité. Les attaques par DDoS de 2016 furent parmi les plus vastes jamais enregistrées et ont réussi à paralyser une variété de cibles, en témoigne le journaliste en cybersécurité Brian Krebs. L’attaque perpétrée sur Dyn, un fournisseur d’infrastructure Internet, a également entraîné des perturbations de service chez Spotify, Twitter, Reddit et le New York Times. Ces attaques de grande ampleur ont largement été causées par de très petits appareils comme des caméras IP et des enregistreurs numériques. La plupart de ces appareils ont été dotés de mots de passe codés en dur que l’utilisateur final ne pouvait modifier et que le botnet Mirai a ciblé. Il est quasiment certain que la plupart des propriétaires de ces appareils n’avaient aucune idée du rôle de leur appareil intelligent dans ces attaques.
Les meilleurs conseils de sécurité
Une étude réalisée auprès des membres de l’ISACA (Information Systems Audit and Control Association) révèle que 61 % d’entre eux ne sont pas sûrs de pouvoir contrôler qui a accès aux données recueillies par les objets connectés à la maison. Dans leur liste de conseils de sécurité en matière d’objets domotiques connectés, on peut citer : éviter de stocker des données sensibles sur l’appareil (50 %), désactiver les fonctions sur Internet lorsque l’appareil n’est pas utilisé (15 %), modifier les réglages de confidentialité (15 %) et modifier les mots de passe (10 %).
Les règles d’antan ne marchent pas sur les appareils d’aujourd’hui
Mais la plupart de ces conseils de sécurité traditionnels sont tout bonnement impossibles à mettre en pratique avec des objets intelligents. Évidemment, des données sensibles se trouvent sur ces appareils, puis elles sont envoyées sur les serveurs de l’entreprise qui gère l’appareil. Plus grave encore, parfois ces informations sont chiffrées, mais il arrive qu’elles ne le soient pas. Les objets connectés dans la maison sont généralement destinés à rester allumés en permanence. Après tout, pourquoi activer et désactiver manuellement un appareil lorsque votre but est d’avoir un appareil intelligent qui se charge de ces étapes pour vous ? Enfin, modifier les mots de passe et les réglages de confidentialité pourrait être utile, si l’appareil vous permettait de le faire.
Comment résoudre le problème de sécurité des objets connectés ?
Sécuriser une maison connectée est loin d’être chose facile pour de nombreuses raisons : des appareils vulnérables par nature, des utilisateurs incapables ou hésitants à les installer de manière sécurisée et le manque de normes de sécurité adoptées par le secteur. Au-delà de ces obstacles, Internet n’arrive généralement au domicile que par une seule voie : un routeur à large bande ou un câble provenant du fournisseur de service Internet. Si le trafic de l’objet connecté peut être contrôlé à partir de là, alors il n’y a plus d’obstacle.