Les objets connectés rendent de précieux services dans la maison mais, souvent mal protégés, ils peuvent aussi être la porte d’entrée au piratage informatique.
Pratiques le robot-tondeuse programmable ou encore le système de régulation à distance du chauffage ! Pratiques mais pas aussi inoffensifs qu’il n’y paraît. La preuve, pour mieux les surveiller, la gendarmerie a créé en janvier 2019 le Pioc, ou Plateau d’investigation des objets connectés.
« A partir du moment où vous utilisez Internet, vous pouvez être exposé à une cyberattaque », prévient Jean-Michel Lathière. Le dirigeant d’IntelliE (sécurité informatique) n’est pas alarmiste, juste réaliste. « Ces systèmes n’ont pas été conçus pour résister à des problèmes de sécurité, ce qui pose des questions d’intimité et de confidentialité », étaye Marc Parenthoën, enseignant-chercheur en informatique, spécialisé dans la gestion des risques cyber. Le site cybermalveillance.gouv.fr fait aussi état d’objets « souvent insuffisamment sécurisés ».
Marc Parenthoën invite donc à « réfléchir aux besoins plutôt qu’aux envies, porter aux clefs numériques la même attention que l’on porte à ses clefs de maison ou de voiture, et enfin respecter les changements de mots de passe et les mises à jour des objets connectés ».
Ne pas négliger
les mises à jour
« C’est le B.A. Ba. », insiste Jean-Michel Lathière. « Un système informatique, on le fait évoluer, on le met à jour. Il doit en être de même dans la domotique, abonde Dimitri Régnault, technicien chez LMS informatique. Un suivi des mises à jour doit être réalisé soit par le constructeur soit par l’installateur. Car à partir du moment où un système est accessible par l’extérieur, il peut devenir une porte d’entrée vers les ordinateurs de la maison. Il faut donc veiller à limiter l’accès. » D’autant qu’avec le développement du télétravail, le piratage peut mener aux données de l’entreprise. « On a déjà vu un serveur piraté à partir d’une simple imprimante… »
Ou du système anti-intrusion censé protégé le bâtiment. « Il faut faire attention au matériel de sécurité que l’on achète et veiller à ce qu’il respecte la norme NF A2P. Les pirates sont les premiers à tester les failles sécuritaires, ils sont en perpétuelle progression, note Steve Narbonne, dirigeant de Global Protocol (solutions de sécurité pour les professionnels). L’arrivée de l’informatique génère des failles mais on peut injecter des softs (ndlr, logiciels) et les pallier, selon le même principe qu’un antivirus sur un ordinateur. »
Sécuriser la connexion Wi-fi, vérifier les paramètres de sécurité ou encore éteindre systématiquement les objets connectés que vous n’utilisez pas sont parmi les bonnes pratiques. Néanmoins, « une part de la sécurité vient de l’usager, qui doit réfléchir à ce qui est essentiel, souligne Marc Parenthoën. Sachant qu’en réduisant les flux, on réduit les risques, la sécurité informatique peut être atteinte par la sobriété. »
En septembre 2022, un projet de règlement baptisé Cyber Resilience Act a été présenté au Parlement européen pour instaurer un cadre commun en matière de cybersécurité et imposer de nouvelles obligations aux fabricants d’objets connectés.