Quand on parle de l'Internet des objets (IdO), la plupart d’entre nous pensons spontanément aux appareils que nous connectons à un réseau pour la commodité, comme les thermostats, les interrupteurs, les voitures connectées et les jouets interactifs pour nos enfants.

Si l'IdO est en effet une merveilleuse invention, conçue pour rendre la vie numérique quotidienne encore plus facile, dans quelle mesure est-elle sécuritaire en matière de protection de votre vie privée?

J'ai étudié quelques-uns des appareils de l’IdO les plus populaires sur le marché avec une équipe de chercheurs d'ESET. Le but : créer une « maison intelligente » de base, avec des objets connectables susceptibles tels que ceux qu’on peut trouver dans un foyer typique.

Les notions d'interconnectivité et de maison intelligente sont rarement au cœur des récits de science-fiction, mais font souvent partie du contexte de ces récits. Grâce à l’IdO, la maison intelligente parait aujourd’hui non seulement réaliste, mais même banale à certains égards.

Dans quelle mesure peut-on vraiment créer sa propre maison intelligente? De nombreux problèmes peuvent surgir lorsque vous tentez de créer votre propre foyer interconnecté. L'interopérabilité entre les appareils fournis par différents fabricants et l’harmonisation de ceux-ci représente l'un des défis importants auxquels quiconque désirant créer une maison intelligente, ou aussi intelligente que possible!

Nous avons acheté quelques appareils de l’IdO qui pourraient être considérés comme essentiels pour la création d'un kit de démarrage pour expérimenter une maison interconnectée. Nous avons également acheté un assistant personnel virtuel (un appareil qui prend les commandes verbales et peut contrôler plusieurs des appareils achetés; en fait, ce type d’appareil peut effectivement permettre de démarrer une maison intelligente, qui peut ensuite prendre de l'expansion avec d'autres appareils connectés).

Préoccupations relatives à la vie privée

Préoccupations relatives à la vie privée

Notre préoccupation première était de concevoir une maison intelligente sans compromettre la vie privée. Nous craignions que les appareils à la maison puissent recueillir des données privées. Bien entendu, nous savions que la plupart des appareils et services ont besoin d’obtenir des informations personnelles de base. Fait inquiétant : nous avons cependant constaté que les entreprises utilisaient souvent l’expression « mais non limité à », ce qui ihttps://www.welivesecurity.com/2016/01/05/consumers-cautious-iot-device-security/mplique qu’elles pourraient capter plus de données personnelles que celles listées dans la politique de confidentialité correspondant.

Au total, nous avons testé douze produits provenant de sept fournisseurs, dont un produit que nous n'avons pas inclus dans le rapport final, en raison de la découverte de vulnérabilités importantes. En tant qu'entreprise de sécurité, nous sommes fermement engagés dans la divulgation responsable et le caractère collaboratif de l'industrie de la sécurité des TI. Nous avons donc avisé l'entreprise en question en présentant des détails précis sur les lacunes de l'appareil;  nous ne publierons pas les détails avant que le vendeur n'ait eu le temps de corriger ces problèmes.

Bien que chaque appareil mis à l'essai ait soulevé quelques questions en matière de protection de la vie privée, c'est le rôle des assistants intelligents activés par la voix qui a suscité les plus sérieuses préoccupations. Cela est dû, entre autres, à la crainte d'un trop grand partage des données par les services commerciaux, à l'insuffisance de la protection des données personnelles stockées et à la possibilité d'interception du trafic numérique, par des cybercriminels par exemple. 

Pouvez-vous créer une maison intelligente sécuritaire?

Pour tout dire… Peut-être. Aucun dispositif ou logiciel ne peut garantir d’être sécurisé ou immunisé contre les vulnérabilités potentielles. Cependant, on peut juger de la culture de sécurité d'une entreprise en fonction de sa réaction lorsque des vulnérabilités sont divulguées. Certains des périphériques testés présentaient des vulnérabilités qui ont été traitées rapidement grâce à de nouveaux logiciels et microprogrammes. Lorsque les vulnérabilités ne sont pas corrigées rapidement (ou pas du tout), il vaut probablement mieux opter pour un dispositif équivalent. Mais avec un bon jugement et de la prudence, vous pouvez effectivement commencer à créer une maison intelligente de base.

Conclusion

 Au début, l'objectif de ce projet était de créer une maison intelligente de base, s’apparentant à ce qu’on pourrait retrouver dans un foyer typique. La préoccupation de notre équipe de recherche était : « Et si nous ne trouvons pas de problèmes? » Malheureusement, ce n’est pas ce qui s’est passé. En fait, la conclusion que j’ai rédigée s’avère bien différente de ce que nous avions envisagé au départ.

Le risque que les données collectées par les fournisseurs de services Internet sur la maison, le mode de vie, la santé, ou même l’ensemble des données connectées par les fournisseurs de services Internet, ne soient accessibles à une seule entité ne devrait être accepté qu'après avoir dûment pris en considération les conséquences.

Pour la liste complète des dispositifs testés, ainsi qu'une description plus technique des produits, consultez notre nouveau livre blanc : IdO : Vie privée et la conception d’une maison intelligente.