Quand la maison connectée devient maison hantée

La sécurité de nos données, une véritable question quant à l’utilisation des objets connectés au sein des foyers. Face au nombre de données personnelles et confidentielles qui transitent via ces objets il devient indispensable pour un foyer de protéger ces systèmes. Aujourd’hui, le simple usage d’un mot de passe ne rend plus nos systèmes imperméables aux potentielles intrusions. Quels dangers pour un foyer ? Quelles conséquences pour les constructeurs smart home ? Quels défis pour les entreprises ? 

Image à la une : un extrait de code binaire symbolisant la cryptographie et les données informatiques (Srt-communication.fr)

Une maison équipée d’appareils cités dans le tableau ci-dessous utiliserait 706 100 MB de data de plus qu’une maison « classique » (non équipée). Soit 5 fois plus que notre consommation moyenne mensuelle si l’on considère les chiffres donnés par l’Arcep qui estime une consommation moyenne de data internet à 140 000 MB par mois (en 2019). 

AppareilConsommation en Megabytes (MB)
Smart Home hub assistant6 000
Thermostat50
Cameras400 000
Smart DoorBells300 000
Smart Plugs/Bulb50
Total 706 100

Les maisons connectées sont de vraies mines de données, l’information disponible via nos objets connectés peut être extraordinairement détaillée. Ainsi notre vie privée peut être décryptée de manière tout aussi détaillée. Ces informations, utilisées à mauvais escient, permettent de connaitre nos habitudes quotidiennes, heures de présence par exemple et ainsi indiquer les heures où nous ne sommes pas chez nous. Ces informations sont en fait un guide du braquage parfait pour les cambrioleurs. 

Sans avoir à étudier toutes ces données, les pirates peuvent littéralement avoir accès à notre foyer. Du fait que nos objets connectés soient reliés au wifi ou encore à nos applications nous sommes vulnérables face à la cybercriminalité. Une imprimante déréglée ou un thermostat défaillant, rien de grave, mais un consommateur risque beaucoup plus gros quand il s’agit d’appareils permettant de surveiller et sécuriser sa maison. 

Prenons SmartThings, l’application qui permet de gérer à distance et via une seule application tous les appareils connectés de notre maison : four, serrures, caméras, thermostat… Essayons d’expliquer grossièrement les défaillances, dérives possibles de l’application. Lorsque vous utilisez cette application pour contrôler vos appareils vous donnez en fait, à votre téléphone, l’accès à votre caméra, à vos contacts, vous pouvez recevoir des mails, messages ou notifications. Les applications de type SmartThings ont accès à beaucoup plus de fonctions de votre téléphone qu’elles n’en n’ont en réalité besoin. Eh bien, ces accès sont autant de portes d’entrées pour les cybercriminels. Si les applications et appareils sont connectés au même réseau cela multiplie les possibilités pour les hackers. Ils peuvent intercepter nos échanges et ainsi obtenir des données confidentielles comme des codes PIN, mots de passe et pénétrer très facilement chez nous par la porte d’entrée.

La vidéo suivante illustre parfaitement l’explication ci-dessus. Un test a été réalisé dans un appartement muni d’une vingtaine d’objets connectés, le résultat est explicite puisque la moitié des appareils ont pu être piratés. Les hackers ont même pris le contrôle de la serrure connectée et ont pu entrer dans l’appartement comme chez eux.

Sans aller jusqu’à parler de cybercriminalité, l’usage de nos données peut porter atteinte à notre vie privée. Nous le savons, toutes nos données sont précieusement gardées par les fournisseurs d’objets connectés. Ceux-ci d’ailleurs ne s’en cachent pas. En consultant la page support de Google Home on comprend que toutes les données récoltées via une fonctionnalité Google telle que Gmail ou notre historique de recherche sont ensuite transmises au reste de notre appareillage Google. On s’aperçoit également qu’une enceinte Google Home en veille n’est en réalité jamais en veille puisqu’elle enregistre en continue nos échanges afin de détecter le fameux « Ok Google ». 

Ces échanges ne sont pas seulement enregistrés et stockés ils sont également interprétés (voir schéma ci-dessous) ! Lors d’une interview pour Bloomberg Amazon confirmait avoir employé des milliers de personnes chargées d’écouter les conversations enregistrées. L’enquête rapporte même des détails plus inquiétants. Ces conversations privées partagées sur une messagerie interne permettaient l’entraide entre collègue mais bien souvent engendraient la moquerie d’un enregistrement amusant. En somme, une atteinte à la vie privée!

Les données sont également revendues par les Data Brokers aux entreprises spécialisées dans la publicité, le marketing, l’analyse ou aux administrations voire à l’Etat comme le montre le schéma ci-dessous.

En principe ces données sont anonymisées afin de protéger l’identité de leur propriétaire. Bien souvent l’anonymisation n’empêche pas la ré identification des personnes. Yodlee (plus gros revendeur de données Bancaires US) n’y échappe pas ! Si ces données bancaires étaient interceptées les conséquences seraient gravissimes.

Quelles conséquences pour le marché des smart homes ? Les maisons intelligentes ne seront-elles jamais sures ? A causes de ces risques liés à l’usage de leurs données les consommateurs se disent effrayés par les équipements intelligents. Les articles 1 et 5 de la partie II de notre étude traitent le sujet de la cyber sécurité du point de vue du consommateur ainsi que la solution de Privacy by Design qui permet de se prémunir contre la cybercriminalité. 

Les consommateurs peuvent prévenir les risques et ils se doivent de rester prudents vis-à-vis de l’usage de leurs appareils connectés car aujourd’hui, ils sont conscients des risques.Mais les organisations ont aussi un rôle à jouer soit d’accompagnement pour les consommateurs soit pour améliorer leur système et logiciels de sécurité. On parle, pour le futur, de Slow Home un système où les données échangées par les objets intelligents resteraient locales, à moins qu’un acteur externe ne fasse une demande précise d’accès. 

La solution parfaite n’existe pas encore pour un marché aussi naissant que celui des smart homes néanmoins le marché est règlementé par la RGPD. Cette règlementation reste insuffisante en termes de protection du consommateur, c’est pourquoi des organismes se battent pour faire évoluer le sujet (Online Trust Alliance, UFC Que Choisir…). La cyber assurance est également une solution à considérer pour se protéger et les offres sont variées : Axa, Coover, MMA, Luko… Encore un exemple d’adaptation d’une entreprise traditionnelle au marché de la maison intelligente.

L’enjeu de Sécurité, un enjeu majeur à considérer sérieusement par tous les acteurs s’ils veulent faire perdurer le marché de la maison intelligente. L’article suivant traitera un autre défi décisif pour le futur de la maison connectée : le développement durable. 

Bibliographie

IACP. Smart Home Security. (2018). Consulté sur : https://www.iacpcybercenter.org/whats-new/smart-home-security/

Test Achats. (2018). Maison connectée, maison en danger ! Consulté sur : https://www.test-achats.be/action/espace-presse/communiques-de-presse/2018/hackable-home 

Sécurité et confidentialité des données sur les appareils compatibles avec l’Assistant – Aide Google Nest. Consulté sur : https://support.google.com/googlenest/answer/7072285?hl=fr

Le Figaro A. (2019). Que deviennent nos données quand on utilise une enceinte connectée d’Amazon ? Consulté sur : https://www.lefigaro.fr/secteur/high-tech/que-deviennent-nos-donnees-quand-on-utilise-une-enceinte-connectee-d-amazon-20190704 

[Schema]. (2019). Data Broker. Consulté sur : https://www.telino.com/wp-content/uploads/2015/04/Schema-Databroker.png 

UFC Que Choisir. (2019) Données personnelles : nos combats et conseils pour les protéger. (2019, 26 février). Consulté sur : https://www.quechoisir.org/nos-combats-donnees-personnelles-nos-combats-et-conseils-pour-les-proteger-n63115/

[Image]. (2020). Sécurité des données. Consulté sur : https://www.srt-communication.fr/wp-content/uploads/2020/01/srt-securite-donnees-iStock-913017342.jpg

Watch engineers hack a ‘smart home’ door lock. (2016). [Fichier vidéo]. Consulté à l’adresse https://www.youtube.com/watch?v=Iwm6nvC9Xhc