Par Tony Anscombe
Quand on parle de l’Internet des objets (IdO),
la plupart d’entre nous pensons spontanément aux appareils que nous connectons
à un réseau pour la commodité, comme les thermostats, les interrupteurs, les
voitures connectées et les jouets interactifs pour nos enfants.
Si l’IdO est en effet une merveilleuse invention,
conçue pour rendre la vie numérique quotidienne encore plus facile, dans quelle
mesure est-elle sécuritaire en matière de protection de votre vie privée?
J’ai étudié quelques-uns des appareils de l’IdO les
plus populaires sur le marché avec une équipe de chercheurs d’ESET. Le
but : créer une « maison intelligente » de base, avec des objets
connectables susceptibles tels que ceux qu’on peut trouver dans un foyer
typique.
Les notions d’interconnectivité et de maison
intelligente sont rarement au cœur des récits de science-fiction, mais font
souvent partie du contexte de ces récits. Grâce à l’IdO, la maison
intelligente parait aujourd’hui non seulement réaliste, mais même banale à
certains égards.
Dans quelle mesure peut-on vraiment créer sa propre
maison intelligente? De nombreux problèmes peuvent surgir lorsque vous tentez
de créer votre propre foyer interconnecté. L’interopérabilité entre les appareils
fournis par différents fabricants et l’harmonisation de ceux-ci représente l’un
des défis importants auxquels quiconque désirant créer une maison intelligente,
ou aussi intelligente que possible!
Nous avons acheté quelques appareils de l’IdO qui
pourraient être considérés comme essentiels pour la création d’un kit de
démarrage pour expérimenter une maison interconnectée. Nous avons également
acheté un assistant personnel virtuel (un appareil qui prend les commandes
verbales et peut contrôler plusieurs des appareils achetés; en fait, ce type
d’appareil peut effectivement permettre de démarrer une maison intelligente,
qui peut ensuite prendre de l’expansion avec d’autres appareils connectés).
Notre préoccupation première était de concevoir une
maison intelligente sans compromettre la vie privée. Nous craignions que les appareils
à la maison puissent recueillir des données privées. Bien entendu, nous savions
que la plupart des appareils et services ont besoin d’obtenir des informations
personnelles de base. Fait inquiétant : nous avons cependant constaté que
les entreprises utilisaient souvent l’expression « mais non limité
à », ce qui
ihttps://www.welivesecurity.com/2016/01/05/consumers-cautious-iot-device-security/mplique
qu’elles pourraient capter plus de données personnelles que celles listées dans
la politique de confidentialité correspondant.
Au total, nous avons testé douze produits provenant
de sept fournisseurs, dont un produit que nous n’avons pas inclus dans le
rapport final, en raison de la découverte de vulnérabilités importantes. En
tant qu’entreprise de sécurité, nous sommes fermement engagés dans la
divulgation responsable et le caractère collaboratif de l’industrie de la
sécurité des TI. Nous avons donc avisé l’entreprise en question en présentant
des détails précis sur les lacunes de l’appareil; nous ne publierons pas
les détails avant que le vendeur n’ait eu le temps de corriger ces problèmes.
Bien que chaque appareil mis à l’essai ait soulevé quelques
questions en matière de protection de la vie privée, c’est le rôle des
assistants intelligents activés par la voix qui a suscité les plus sérieuses
préoccupations. Cela est dû, entre autres, à la crainte d’un trop grand partage
des données par les services commerciaux, à l’insuffisance de la protection des
données personnelles stockées et à la possibilité d’interception du trafic numérique,
par des cybercriminels par exemple.
Pouvez-vous créer une maison intelligente
sécuritaire?
Pour tout dire… Peut-être. Aucun dispositif ou
logiciel ne peut garantir d’être sécurisé ou immunisé contre les vulnérabilités
potentielles. Cependant, on peut juger de la culture de sécurité d’une
entreprise en fonction de sa réaction lorsque des vulnérabilités sont
divulguées. Certains des périphériques testés présentaient des vulnérabilités
qui ont été traitées rapidement grâce à de nouveaux logiciels et
microprogrammes. Lorsque les vulnérabilités ne sont pas corrigées rapidement
(ou pas du tout), il vaut probablement mieux opter pour un dispositif
équivalent. Mais avec un bon jugement et de la prudence, vous pouvez effectivement
commencer à créer une maison intelligente de base.
Conclusion
Au début,
l’objectif de ce projet était de créer une maison intelligente de base,
s’apparentant à ce qu’on pourrait retrouver dans un foyer typique. La
préoccupation de notre équipe de recherche était : « Et si nous ne
trouvons pas de problèmes? » Malheureusement, ce n’est pas ce qui s’est
passé. En fait, la conclusion que j’ai rédigée s’avère bien différente de ce
que nous avions envisagé au départ.
Le risque que les données collectées par les
fournisseurs de services Internet sur la maison, le mode de vie, la santé, ou
même l’ensemble des données connectées par les fournisseurs de services
Internet, ne soient accessibles à une seule entité ne devrait être accepté
qu’après avoir dûment pris en considération les conséquences.
Pour la liste complète des dispositifs testés,
ainsi qu’une description plus technique des produits, consultez notre nouveau
livre blanc : IdO : Vie
privée et la conception d’une maison intelligente.