Attention aux voleurs numériques
16 appareils domestiques connectés, 54 vulnérabilités
Lors d'un test de sécurité portant sur 16 appareils intelligents, nous avons identifié pas moins de 54 vulnérabilités. Nous avons testé des produits de différentes catégories : des sonnettes et serrures connectées aux aspirateurs et robots de cuisine intelligents, en passant par les babyphones connectés et même un sex-toy. Pour la plupart des catégories, nous avons acheté à la fois un article plus cher d'un fabricant plus réputé et un article bon marché d'une marque inconnue que l'on trouve principalement sur des plateformes en ligne telles qu'Amazon ou AliExpress.
Pour le test, nous avons travaillé avec deux chercheurs de la KU Leuven (groupe de recherche COSIC) : l'un d'eux a examiné les appareils en termes de sécurité. L'autre chercheur a suivi les flux de données pendant un mois et demi : où les appareils et les applications envoient-ils des données ? De quelles données s’agit-il ? Et sont-elles envoyées de manière sécurisée ?
Les dispositifs bon marché sont souvent mal sécurisés
Une faille de sécurité dans un appareil ne signifie pas nécessairement que vous, en tant qu'utilisateur, êtes immédiatement en danger. Parfois, il est peu probable qu'un pirate abuse réellement de la faille, ou alors l'impact est limité si cela se produit. Toutefois, pour 14 des 54 vulnérabilités identifiées, les chercheurs parlent d'un problème "critique" ou "très grave". Ce qui est inquiétant, c'est que 10 des 16 appareils testés présentent une telle vulnérabilité, critique ou grave. Cela s’est produit plus souvent avec des appareils bon marché.
Les appareils plus chers, provenant de fabricants plus réputés, présentent généralement des problèmes moins graves, mais ce n'est pas une garantie. Par exemple, un babyphone Motorola assez cher (le Comfort Connect 85) s'est avéré être très mal protégé.
Beaucoup de trafic de données non cryptées
Outre les faiblesses de l'appareil ou de l'application qui l'accompagne, nous avons également constaté que de nombreux appareils envoyaient des données personnelles sur internet sans cryptage. Plus précisément, il s'agissait de mots de passe wifi, de codes d'appareils uniques, de numéros de série, d'adresses électroniques, etc. Le risque est que les pirates puissent alors facilement intercepter ces données et éventuellement les utiliser pour exploiter d'autres vulnérabilités. Ainsi, non seulement vos données personnelles sont en jeu, mais les pirates peuvent aussi s'attaquer plus facilement à vos appareils.
L'accessibilité des fabricants reste un point sensible
Après le test, nous avons informé les fabricants de ces problèmes. Six d'entre eux n'ont pas répondu, à chaque fois des fabricants qui ne sont pas connus dans nos contrées et opèrent depuis des pays non européens (Ikohs, Tenda, Proscenic, 360 Eyes, Raykube et le fabricant de la sonnette sans marque). Dans tous les cas, c'est un défi de trouver une personne de contact. Avec les grands fabricants, c'est souvent plus facile. Mais, même avec eux, il faut parfois chercher le bon point de contact.
La plupart des fabricants qui ont répondu ont indiqué qu'ils voulaient s'attaquer aux problèmes, mais il n'est pas certain qu'ils les résolvent réellement dans la pratique.
Nous continuons donc à nous battre pour une meilleure réglementation qui rendra les fabricants responsables de la sécurité numérique de leurs produits.
Lisez nos exigences en matière de sécurité dans notre dossier sur la protection de votre maison contre les hackers (en bas de la première page).