News

Une maison connectée n’est pas à l’abri des hackers

03 mai 2018

03 mai 2018
Nos appareils ménagers sont de plus en plus connectés à internet. Ces appareils “intelligents” offrent plus de fonctions, et leur facilité d’utilisation est augmentée, mais la sécurité est loin d’être au rendez-vous. Il n’a fallu que quelques jours à notre équipe de hackers (pirates) “éthiques” pour se rendre maître d’une maison “intelligente”.

Dans une habitation, nous avons installé 19 appareils “intelligents” (parmi les plus vendus): un réfrigérateur, un système d’alarme, un thermostat, une imprimante, une tablette pour enfant, une serrure de porte, un haut parleur et même un aspirateur robot, etc.

Ensuite, nous avons “lâché” deux pirates “éthiques” de la société anglaise de cyber-sécurité SureCloud à l’assaut de ces machines. Leur mission était simple: ils avaient une semaine pour pirater autant d’appareils que possible. Et ils ont réussi: dans la moitié des cas, ils ont découvert des problèmes de sécurité qui permettraient à des personnes malintentionnées d’avoir accès à vos appareils, et même à votre habitation.

Regardez comment des pirates peuvent s’infiltrer dans certains appareils.

Vous voulez savoir comment protéger votre réseau domestique et vos appareils ? Demandez votre numéro gratuit du magazine Test Connect.

Téléphonez au 0800 29 117 (mentionnez le code "Connect1")

Du piratage de l’imprimante au déverrouillage de la serrure connectée

Vous ne vous tracassez sans doute pas trop à l’idée qu’un hacker parvienne à lancer des impressions et à vider le bac de papier de votre imprimante. Mais l’accès à d’autres appareils peut être moins innocent. D'autant plus s’il s’agit d’équipements qui permettent de surveiller et de protéger votre habitation. 

Prenons l’exemple d’une serrure connectée. Il est évident que personne ne souhaite qu’un pirate puisse la contrôler à distance. Et pourtant, cela a été possible avec celle de Nuvi, non pas à cause de l’appareil en lui-même, mais bien en parvenant à accéder au compte web auquel cette serrure est reliée.

Autre exemple, le système d’alarme de Gigaset: dans ce cas, il était par exemple possible de regarder les images de la caméra, de déconnecter les capteurs et de débrancher le son du détecteur de fumée.

L’infaillibilité n’était pas non plus au rendez-vous pour un certain nombre de produits apparemment plus anodins. Dans le cas de la montre GSP One2Track, qui pemet aux parents d’échanger des messages vocaux avec leurs enfants, les tests ont montré que la sécurité des communications était insuffisante: les pirates ont pu intercepter des messages. Dans le cas de la tablette pour enfants de vTech, ils sont parvenus à visionner les images de l’appareil photo et à écouter les conversations.

Sécurité du routeur

Même si des hackers peuvent s’infiltrer dans votre maison de plusieurs façons, il est évident que la première protection est un routeur bien sécurisé, avec un mot de passe wifi fort. En analysant certains routeurs, nos pirates ont pourtant été en mesure de démontrer que les fabricants ne mettent malheureusement pas toujours en oeuvre les mesures de sécurité nécessaires. Ils ont ainsi remarqué que Proximus, Orange et VOO fournissaient les routeurs (modems) avec des mots de passe trop facile à deviner.

La plupart des fabricants ont réagi rapidement

Après le test, nous avons transmis l’information aux fabricants à propos de ces points sensibles. Il faut le reconnaître: la plupart ont réagi rapidement, et ils ont promis de prendre des mesures dans un avenir proche. One2Track a été particulièrement réactif: alors que nos tests étaient encore en cours, ils prenaient déjà des mesures pour améliorer la sécurité de leurs produits et de leurs systèmes. Après avoir reçu nos conclusions, ils ont encore pris d’autres mesures.

Sécurité “by design” et “by default”

Vu le succès croissant des produits destinés aux “maisons intelligentes”, il est indispensable de prendre des mesures pour parvenir à un niveau de sécurité suffisant, pour améliorer la situation des produits tels que ceux que nous avons testés.

Nous demandons aux fabricants de respecter un certain nombre de règles de base dans leurs processus de production, pour rendre leurs produits connectés aussi sûrs que possible lors de leur conception (“security by design”), mais également de proposer des produits avec des réglages de sécurité d’origine (“security by default”).

Nous avons également fait part, au Secrétaire d'Etat en charge de la protection de la vie privée, de nos inquiétudes par rapport aux lacunes révélées par cette enquête. D'autant plus que nous avons avions déjà découvert le même genre de problème avec des appareils connectés (jeux, tv intelligentes, montres connectées...) lors de précédents tests! Nous réitérons donc notre demande au gouvernement de prendre le problème au sérieux et de créer, avec notre collaboration, un cadre juridique pour la cybersécurité de tels appareils, de la même manière que, par exemple, la sécurité incendie des produits est dorénavant prise en compte.