Les objets connectés envahissent notre quotidien. Bref aperçu d’une liste à la Prévert qui s’allonge chaque jour un peu plus : Télévisions, compteurs électriques, frigos, brosses à dents, lampes, prises, babyphones, etc.
La plupart de ces appareils ont d’ores et déjà été piratés ou permettent d’espionner leurs utilisateurs. Les frigos connectés lancent des attaques informatiques. Les télévisions vous écoutent ou vous filment en continu et envoient les données aux fabricants. Les babyphones sont piratés pour effrayer les enfants.
Pour autant, la domotique a le vent en poupe. Les alarmes peuvent émettre une notification directement sur le smartphone de l’habitant. Les images de vidéosurveillance peuvent être diffusées n’importe où dans le monde. Les serrures électriques permettent l’ouverture à distance des portes. Là encore, la seule limite est celle de l’imagination.
On pourrait espérer que ces outils dédiés à la sécurité sont plus sécurisés que les objets connectés standard. Malheureusement, tel n’est pas nécessairement le cas. A l’instar de l’électroménager 2.0, les caméras lancent des attaques. Et leurs images sont fréquemment accessibles à toute personne ayant pris la peine de lire dans le manuel d’utilisation des mots de passe d’usine.
Mais quand bien même ces outils seraient sécurisés, le risque de piratage demeurerait. Les professionnels de la sécurité de l’information ont coutume de dire que « la sécurité d’une chaine est égale à celle de son maillon le plus faible ».
En l’occurrence, le maillon faible tient justement à la connectivité de ces appareils. Peu d’entre eux disposent de leur propre connexion à Internet. Ils sont en principe connecté au réseau Wifi domestique, fréquemment peu ou prou sécurisé.
Résultat ? Cet amas de technologie peut se retourner contre l’utilisateur.
Le cambrioleur accédant à ce réseau domestique n’aura désormais aucune difficulté à vérifier la raison pour laquelle les lumières s’allument à une heure déterminée. Il suffira d’installer les applications mobiles des leaders des ampoules et prises connectées pour vérifier un éventuel paramétrage dissuasif de l’éclairage de la maison. Déterminer les heures de présence des habitants supposera simplement de monitorer la consommation électrique ou de vérifier les images de vidéosurveillance. Géolocaliser une caméra peut en effet s’avérer étonnamment facile, comme l’a récemment démontré Damien Bancal. A partir de là, un défaut dans la sécurité d’une serrure ou d’une alarme connectée ou simplement la flemme de changer le mot de passe par défaut et les portes du domicile seront ouvertes au premier geek venu.
Scénario catastrophe ? Peut-être. Mais force est tout de même de constater que plusieurs années après la généralisation des caméras numériques, les banques restent fidèles au système de vidéosurveillance en circuit fermé (Les systèmes de vidéosurveillance et l’IoT : protocoles et vulnérabilités, MISC 91 – Smartcities). Et en matière de sécurité, on fait difficilement mieux que ces acteurs, non ?
Admettons. Imaginons même qu’il se réalise. Combien de temps avant qu’une compagnie d’assurance réfléchisse soit à refuser sa garantie à l’assuré – en tentant de démontrer que l’utilisation d’objets connectés constitue une faute ou a permis un vol sans effraction– soit à engager la responsabilité des fabricants des différents objets connectés équipant le logement ?
Dans tous les cas, in fine, c’est probablement vers le fabricant que l’on se tournera tôt ou tard et celui-ci ne pourra se dédouaner qu’en démontrant d’une part que des mesures de sécurité conformes à l’état de l’art ont été mises en place, d’autre part qu’il a clairement attiré l’attention de l’utilisateur sur ses responsabilités, comme le changement de mot de passe.
Peut-être douterez-vous de la possibilité d’en arriver à cette extrémité. Un examen attentif de la jurisprudence en matière de sécurité conduit pourtant à la considérer comme étant parfaitement vraisemblable. L’installateur d’un système de téléphonie d’entreprise a ainsi vu sa responsabilité engagée pour ne pas avoir conseillé à son client de changer le mot de passe par défaut dudit système (TC Nanterre, 5 février 2015, Nerim ; CA Versailles, 25 mars 2014, Les Films de la croisade). Conséquence, le paiement de la facture téléphonique – inutile de préciser qu’elle était astronomique – a été mis à la charge de l’installateur.
Aussi astronomique ait été la facture, il s’agissait probablement d’un moindre mal à côté des conséquences de cambriolage en série, permis par un défaut de sécurité ou un manquement au devoir de conseil.