La maison connectée, vulnérable aux pirates informatiques
Les thermostats, les jouets et toutes ces autres technologies connectées à internet, qu’on retrouve de plus en plus dans nos maisons, peuvent être hackés par des pirates. Voici trois exemples pour vous expliquer la situation.
De nombreux appareils domestiques intelligents peuvent être piratés en quelques heures par des personnes mal intentionnées. De la serrure connectée aux babyphones, aucun objet n’est réellement à l’abri d’un hameçonnage – une approche employée par les cyber-escrocs pour vous pousser à révéler des informations personnelles, comme des mots de passe.
La méthode utilisée par ces pirates en ligne est simple, mais efficace : ils vous envoient des e-mails contrefaits ou vous dirigent vers un faux site web. Une fois que vous cliquez sur ces adresses/liens internet, vous avez littéralement mordu à l’hameçon ! Les pirates ont alors accès à tout ce qui est connecté dans votre maison.
Les serrures connectées sont-elles fiables ?
La serrure intelligente a beaucoup de succès ces dernières années. Remplaçant le verrou traditionnel, cette fermeture connectée présente divers avantages en matière de sécurité. Terminé la perte ou le vol du trousseau de clés, puisqu’il n’y en a plus. Le mécanisme fonctionne en effet à l’aide d’une application mobile, d’un badge ou d’un code. En cas d’intrusion, la serrure connectée peut même vous prévenir puisqu’elle fonctionne à distance.
Mais attention, ce type de dispositif n’est pas sans danger. Il y a deux ans, deux hackers ont démontré qu’il était possible de pirater un verrou intelligent. Selon eux, la solution pour déverrouiller une serrure serait même accessible au grand public. Il ne nécessite que du matériel facilement disponible en magasin, pour un budget de plus ou moins 170 euros. Bref, un investissement pas du tout contraignant pour un cambrioleur.
Pour démontrer la fragilité d’un tel mécanisme, le duo de spécialistes a tenté de pirater 16 serrures connectées : 12 d’entre elles ont cédé assez facilement. Ils sont parvenus à lire les mots de passe, et même à les changer, interdisant ainsi l’ouverture de la porte aux « propriétaires ».
Le but de cette démonstration était de « sensibiliser les consommateurs« , mais aussi de « mettre la pression sur les vendeurs afin qu’ils améliorent la sécurité« , ont expliqué les deux professionnels.
Chaleur torride ou froid polaire, quand votre thermostat vous tient en otage
« Quel est l’intérêt de pirater un thermostat ? », me diriez-vous... Si jouer les ascenseurs thermiques n’a aucune conséquence directe sur votre sécurité informatique, votre porte-monnaie, en revanche, pourrait bien être une cible de choix. En tenant votre chauffage en otage, les hackers pourraient vous demander une rançon en échange de sa « libération ».
Fin 2016, deux chercheurs en sécurité informatique, Andrew Tierney et Ken Muro, ont débusqué une faille dans un thermostat connecté pour y implanter leur « ransomware » – un programme malveillant que les criminels installent sur les objets informatiques sans votre consentement pour les verrouiller. Ces criminels, qui sont généralement les seuls à pouvoir débloquer vos appareils, vous rendront l’accès à vos biens en échange d’une somme d’argent.
Les deux hommes ont tout de même tenté de rassurer : ce type de piratage n’est pas facile à réaliser, puisqu’il faut la participation inconsciente des victimes. Il oblige en effet les utilisateurs à télécharger et transférer eux-mêmes un logiciel malveillant sur leur carte SD et sur leur thermostat.
Les babyphones et jouets menacés
Si on est encore loin du jouet qui prend vit au beau milieu de la nuit – à l’image de Woody le cow-boy, héros de la saga Toys Story – l’avertissement lancé par le Centre national de la cybersécurité britannique fait froid dans le dos. Des failles ont été découvertes dans de nombreux jouets pour enfants et moniteurs pour bébés.
Le CNCS a récemment publié une nouvelle directive appelant les fabricants à garantir la sécurité des appareils vendus aux familles. Plusieurs vulnérabilités ont déjà été relevées, dont notamment une qui permettrait à des pirates informatiques d’obtenir l’accès à l’audio des babyphones ou même « injecter de fausses informations sur la position et la température » d’un nourrisson sur un moniteur d’activité.
Une maman traumatisée
Il y a quelques mois, une mère américaine a été victime d’un de ces piratages. Sur son compte Facebook, Jamie Summitt raconte sa mésaventure... À la naissance de son bout de chou, la jeune mère décide de se procurer un babyphone muni d’une caméra. Objet qu’elle pensait pratique puisqu’il permet non seulement d’écouter son enfant, mais aussi de le surveiller via un flux vidéo disponible grâce à une application. Et pourtant...
Une après-midi, alors que Jamie décide de vérifier avec son smartphone si son enfant est bien endormi dans la chambre parentale, elle remarque quelque chose d’étrange : « j’ai remarqué du coin de l’oeil que la caméra bougeait ... et que c’était un panoramique vers notre lit« , raconte alors la jeune femme. Son lit, « l’endroit exact où j’allaite mon fils tous les jours« . Elle contacte alors son mari, qui lui assure ne pas avoir allumé l’application de toute la journée. Paniquée, elle comprend alors que son appareil a été piraté. « Je suis censée protéger mon fils et j’ai échoué lamentablement. Honnêtement, je ne veux plus jamais retourner dans ma propre chambre.«
Outre les babyphones, une base de données internationale répertorie également un « ourson intelligent » présentant une faille de sécurité pouvant être utilisée par les pirates pour obtenir des informations sensibles, ainsi qu’un dinosaure parlant permettant d’intercepter le trafic voix, données et vidéo. Selon le CNCS, il serait même possible d’ouvrir une porte connectée au Wi-fi à l’aide d’une poupée interactive (preuve encore que les serrures connectées ne sont pas aussi fiables qu’on pourrait le penser). « Des dispositifs mal sécurisés peuvent menacer la vie privée des personnes, compromettre la sécurité de leur réseau, leur sécurité personnelle et pourraient même être exploités dans le cadre de cyberattaques à grande échelle« , a déclaré un porte-parole du CNCS.
Il faut pourtant prendre un peu de recul, prévient le porte-parole du conseil de sécurité. « Une vulnérabilité trouvée ne signifie pas nécessairement que quelque chose a déjà été hacké et qu’il y a eu un exploit« . Le message à faire passer tient davantage de la prévention et de l’éducation des familles qui ont accès aux nouvelles technologies.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici