Dossier

Protégez votre maison contre les hackers

26 août 2021

En tant que consommateur, vous avez le droit de disposer d'appareils intelligents sécurisés. Nous nous battons pour que ces derniers soient sans risque et restent fiables. C'est pourquoi nous avons établi un certain nombre d'exigences en faveur d’une législation plus stricte. Afin que vous disposiez d'un appareil sûr.

Les appareils connectés doivent être mieux sécurisés

Nous sommes de plus en plus souvent reliés à internet : même nos TV ou sonnettes sont en ligne. Cette connectivité offre de nombreux avantages mais comporte aussi des risques. Vous ne voulez pas que des pirates puissent éteindre vos lumières et ouvrir votre porte à distance. Ou éteindre votre caméra de surveillance. Malheureusement, nous avons remarqué que la sécurité des appareils "intelligents" est encore souvent médiocre.

Prenez l'un des babyphones connectés de notre dernier test : un pirate pourrait s'en emparer à distance, désactiver la détection de mouvement, laisser la musique jouer, réinitialiser l'appareil, faire tourner la caméra de façon aléatoire, etc. Ou l'une des serrures intelligentes, qui s'est avérée facile à ouvrir, tant physiquement que numériquement.

Les appareils bon marché souvent plus dangereux

Les failles critiques se trouvent principalement dans les appareils bon marché, comme ceux que l'on trouve souvent sur les plateformes en ligne comme AliExpress et autres. Produits en masse, ces appareils sont conçus à un prix très bas, mais malheureusement sans prêter attention à la sécurité. Un autre problème est qu'il s'agit souvent de produits "blancs", vendus sous différentes marques, mais qui sont (presque) identiques en termes de matériel et de logiciel. Les vulnérabilités s'appliquent alors à beaucoup plus de dispositifs que la marque et le modèle spécifique où elles ont été trouvées.

Les fabricants plus connus s’en sortent mieux. Nous constatons généralement des failles moins graves dans leurs appareils et ils disposent de budgets plus importants pour résoudre les problèmes de sécurité, mais ce n'est pas une garantie.

Que pouvez-faire en tant que consommateur?

Ce qui rend les choses encore plus compliquées, c'est qu'en tant que consommateur, vous n'avez souvent aucun moyen de savoir si votre sonnette intelligente ou votre babyphone est sécurisé ou non. Et vous ne pouvez pas toujours y faire quelque chose vous-même. Dans le cas de mots de passe trop faibles par défaut, vous pouvez toujours prendre l'initiative de définir un mot de passe plus fort.

Et il y a un certain nombre d'autres choses auxquelles vous pouvez faire attention (voir nos conseils ici). Mais dans de nombreux cas, il s'agit d'une programmation irréfléchie ou d'un manque de rigueur que seul le fabricant peut rectifier. En tant qu'utilisateur, vous ne pouvez qu'espérer une mise à jour du logiciel pour résoudre le problème.

Les risques liés aux appareils mal sécurisés

Les gens pensent souvent que personne ne veut les pirater, mais les criminels ne doivent pas nécessairement vous cibler spécifiquement. Dans la plupart des cas, ils ne le font pas. Ils exploitent simplement une faille de sécurité et mènent ensuite leur attaque de manière aléatoire. À votre insu et sans raison, vous pouvez toujours en être victime. C'est pourquoi les fabricants doivent s'efforcer de maintenir les risques d'attaque aussi faibles que possible.

Quels sont les risques d’avoir un appareil mal sécurisé chez vous ?

  • Botnet : Votre appareil connecté se retrouve inclus dans ce qu’on appelle un botnet. En tant qu'utilisateur, vous ne le remarquez pas forcément. L’appareil fait ainsi partie d'un vaste réseau que les pirates utilisent, par exemple, pour faire crasher des sites web : de nombreux appareils tentent de se connecter simultanément au même site, ce qui le "surcharge" et le rend donc inaccessible.
  • Attaque à distance aléatoire sur de nombreux appareils en même temps : Les pirates peuvent parfois découvrir une vulnérabilité qui leur permet d'attaquer simultanément de nombreux appareils du même modèle ou de la même marque. Parfois, il leur suffit de se procurer un appareil au hasard et, une fois qu'ils savent comment exploiter la faille, ils peuvent cibler plusieurs appareils à la fois, sans avoir à se trouver physiquement à proximité de ceux-ci.
  • Un appareil mal sécurisé utilisé comme passerelle vers d'autres appareils de votre réseau : Les pirates peuvent s'introduire dans votre réseau via votre robot de cuisine. Ils peuvent ainsi mettre la main sur un grand nombre de données personnelles. Non seulement ils savent quels plats vous cuisinez – ce n’est pas comme ça qu’ils vont gagner beaucoup d'argent – ils peuvent aussi s'introduire, grâce au robot de cuisine, dans votre PC portable ou votre smartphone, par exemple.
  • Vos données personnelles menacées : Vos données privées sensibles peuvent tomber entre de mauvaises mains. Pensez aux images de votre babyphone connecté, ou aux données personnelles telles que les mots de passe wifi, les codes uniques des appareils, les numéros de série, les adresses électroniques... Les criminels peuvent intercepter ces données et éventuellement les utiliser pour exploiter d'autres vulnérabilités. Ou alors, ils peuvent utiliser les images interceptées pour vous faire chanter, par exemple.
  • Vos appareils rendus inutilisables : Les pirates peuvent obtenir un accès à distance et prendre le contrôle de vos appareils grâce à des failles de sécurité. Ou rendre vos appareils inutilisables. Un pirate peut verrouiller votre système et vous demander de l'argent.
  • Perturbation du wifi : De nombreux appareils connectés fonctionnent en wifi. En soi, ce n'est pas une mauvaise chose, mais le wifi lui-même est sensible à certaines attaques. Par conséquent, une personne qui se trouve physiquement à proximité de votre domicile peut perturber temporairement les appareils fonctionnant avec le wifi.
  • Vos appareils utilisés contre vous : Les pirates peuvent manipuler votre thermostat connecté, inonder votre machine à laver ou bloquer les freins de votre voiture.

Nos exigences en matière de sécurité

Avec d'autres organisations de consommateurs, comme le Consumentenbond aux Pays-Bas, nous nous battons pour que les appareils connectés soient soumis à 7 exigences de sécurité.

  1. Sécurité minimale
    Les fabricants ne devraient mettre sur le marché que des appareils répondant à des exigences de sécurité minimales. Il s'agit notamment de mots de passe forts et uniques, d'un cryptage solide et de paramètres par défaut sûrs.

  2. Mises à jour
    Les appareils intelligents devraient au minimum recevoir des mises à jour de sécurité pendant leur durée de vie. Les fabricants et les vendeurs devraient également vous informer clairement avant l'achat de la durée pendant laquelle vous recevrez des mises à jour.

  3. Droit à une indemnisation
    Vous avez droit à une indemnisation si vous subissez des dommages parce que votre appareil connecté est mal sécurisé. Outre les dommages matériels et financiers, il peut également s'agir de violations de la vie privée.

  4. Avertissement des failles
    Les fabricants doivent résoudre au plus vite les vulnérabilités de leurs appareils, et vous avertir à ce sujet. Ils devraient également vous conseiller sur la marche à suivre tant que l'appareil n'est pas sécurisé.

  5. Vérification des problèmes
    Vous devez être en mesure de vérifier facilement si votre appareil présente des problèmes (graves) de sécurité. Par exemple, sur le site web du fabricant.

  6. Retrait du marché
    Les appareils connectés qui ne répondent plus aux exigences minimales de sécurité et/ou qui sont manifestement dangereux doivent être retirés du marché.

  7. Une application stricte de la loi
    Les points ci-dessus doivent être appliqués rapidement et avec sévérité.