Objets connectés : le rapport accablant d’ESET sur la sécurité

ESET, spécialiste de la sécurité informatique, a testé plusieurs objets connectés et publié un rapport. Les résultats sont éloquents : la plupart ne sont pas sécurisés et présentent de gros dangers pour les données des utilisateurs.

C’est un bien triste constat que vient d’effectuer ESET. Après plusieurs semaines de test, divers objets connectés sont passés sous l’œil scrutateur du spécialiste de la sécurité. De l’Amazon Echo à la station météo Netatmo en passant par de plus petits objets, les failles sont aussi nombreuses que diverses.

Petits et gros constructeurs ne sécurisent pas assez leurs objets connectés

ESET a procédé à ses tests en utilisant une installation smart home classique. Voici la liste des objets connectés utilisés :

Une station domotique a aussi été passée au crible, mais ESET n’a pas dévoilé son nom. C’est cette centrale domotique qui a obtenu les pires résultats : authentification non protégée, aucun chiffrage des données vers le Cloud… En gros, le premier pirate venu peut intercepter la moindre de vos données, voire prendre le contrôle de votre installation ! Un comble sachant que ce type d’appareil a pour vocation de diriger presque tous les aspects de la maison connectée.

Amazon enceinte Echo Dot

Les autres manquements relevés sont moins graves, mais restent préoccupants surtout qu’ils proviennent de constructeurs expérimentés. Ainsi, le Hub D-Link effectue ses mises à jour via un flux http et pas https. Un pirate peut donc injecter un virus afin de compromettre le Hub. ESET a aussi relevé que le flux de la caméra intégrée au Hub n’est pas chiffré. Du côté de la radio Woerlein, le service auquel elle se connecte peu connaître à n’importe quel moment l’adresse IP de la radio, la station écoutée et la durée d’écoute. Le problème c’est que le service en lui-même reste totalement obscur sur ses conditions de confidentialité.

Du côté d’Amazon et Nokia, la sécurité des données est assurée lors des transferts. En revanche, toutes les interactions vocales que vous avez avec Alexa peuvent potentiellement être retrouvées par un pirate qui obtiendrait un accès à votre compte Amazon. Certains constructeurs ont déjà pris les devants comme Netatmo qui a renforcé en 2015 l’identification via WiFi de ses appareils.

Pour en savoir plus, n’hésitez pas à télécharger le rapport complet (en anglais) produit par ESET sur le lien suivant.

Voir le rapport d’ESET

Quel avenir pour nos données ?

Vous l’aurez compris, nos données personnelles ne sont pas à l’abri. Peu de constructeurs ont encore les bons réflexes pour protéger efficacement la vie privée des utilisateurs. Dès lors, quelles sont les solutions à adopter ? Les plus radicaux n’hésiteront pas à dire qu’il faut se débarrasser des objets connectés. Au moins, vous courrez moins de risques ! Mais ce n’est pas la solution idéale, loin de là. Pour ma part, je ne peux que vous conseiller de bien vous renseigner avant tout achat.

Hacker vol de données

L’idéal est de se poser les bonnes questions : vais-je avoir besoin de cette balance connectée ? Quelles sont les avantages de cette centrale domotique par rapport à une autre ? Si cela peut paraître rébarbatif, une lecture attentive des conditions générales des constructeurs vous donnera déjà une idée de l’utilisation qui sera faite de vos données personnelles. Visitez des forums spécialisés : il regorgent de spécialistes en sécurité qui mettent rapidement en évidence les points faibles de nombreux objets connectés.

Si jamais vous passez le pas, alors gardez en tête que toutes les informations que vous renseignerez finiront sur un serveur probablement situé à l’étranger. Dès lors, il sera difficile d’avoir un contrôle sur elles. En Europe, le droit à l’oubli permet d’effectuer des demandes d’effacement auprès des sites internet. Mais cela reste encore limité. La mise en place du RGPD d’ici mai 2018 incitera les constructeurs à mieux protéger les transferts de données via un chiffrement obligatoire.

Le bon sens reste donc de mise avant de foncer sur tout nouvel appareil connecté. Si le rapport d’ESET est accablant, il n’en reste pas moins rassurant de voir qu’une certaine prise de conscience collective voit le jour. Reste juste à faire en sorte que le mouvement prenne de l’ampleur, car les données personnelles doivent le rester.

We will be happy to hear your thoughts

      Leave a reply