Une maison intelligente – mais sûre !?

L'informaticien Peter Schulik est chercheur associé à l'Institut pour la sécurité innovante de l'Université des sciences appliquées d'Augsbourg. Ses travaux portent sur la protection des systèmes d'exploitation et des réseaux, notamment dans le domaine de l'informatique légale. Nous avons interviewé cet expert en informatique sur la sécurité des technologies de la maison connectée.

Monsieur Schulik, le cryptage des données de ces systèmes est-il réellement aussi sûr que le prétendent les fabricants ?

Dans notre laboratoire universitaire, nous simulons des attaques contre les technologies de la maison connectée afin d'identifier de nouvelles techniques d'attaque et des mécanismes de détection. Résultat : selon le produit, les appareils sont plus ou moins sécurisés. Les pirater exige donc un niveau d'effort et d'expertise variable de la part de l'attaquant. Mais c'est possible.

Cette sécurité est-elle uniquement relative, mais aussi due à la pression concurrentielle du marché ?

Oui, la sécurité a un coût, tant en temps qu'en argent, et la pression pour commercialiser de nouvelles fonctionnalités avant la concurrence a un impact négatif. On dispose de moins de temps pour examiner le logiciel et vérifier la sécurité du code, par exemple si les mots de passe sont transmis en clair, ou pour déceler les vulnérabilités du logiciel.

Qu’est-ce qui rend la maison intelligente et connectée vulnérable aux attaques extérieures ?

Les actionneurs et capteurs des fenêtres, portes ou systèmes de chauffage collectent des informations sur leur environnement physique. Même le système audio, qui par exemple diffuse votre musique préférée à votre arrivée, connaît votre profil utilisateur. Les entreprises, et potentiellement les cambrioleurs, peuvent ainsi savoir si et quand quelqu'un est chez lui. Bien souvent, le devenir de ces données reste opaque.

Les cyberattaques constituent une autre source de danger. Des informations sensibles, comme les données de cartes bancaires, sont stockées sur ces appareils. Comment les utilisateurs peuvent-ils contribuer à leur propre sécurité ?

Malheureusement, il arrive trop souvent que les acheteurs d'appareils domotiques, comme les caméras de sécurité, oublient de modifier le nom d'utilisateur par défaut et de saisir leur propre mot de passe. Ces appareils peuvent alors être scannés et compromis en ligne. Souvent associés à d'autres appareils tels que des réfrigérateurs ou des systèmes de chauffage, ils sont parfois utilisés pour former des botnets (vastes réseaux de systèmes contrôlés à distance et infectés par des logiciels malveillants). La plupart de ces botnets peuvent ensuite être surveillés et recevoir des commandes via un canal de communication.

Pouvez-vous nous donner un exemple précis ?

Si une mère utilise une caméra audio bidirectionnelle pour surveiller son bébé en ligne et emploie un identifiant et un mot de passe par défaut, une personne non autorisée pourrait accéder à la caméra et à la commande vocale. Il se pourrait alors qu'une voix inconnue soit entendue dans la chambre ou que des images de la chambre de bébé soient enregistrées. Aux États-Unis, un homme séparé a utilisé son accès aux composants domotiques de leur ancien domicile conjugal pour terroriser son ex-femme. Cependant, il arrive aussi que les systèmes domotiques ne servent que de passerelles ou de points d'accès à des données réseau, stockées soit sur le disque dur de l'ordinateur portable ou de bureau, soit sur le réseau de l'entreprise.

Outre le confort accru et l'efficacité énergétique, c'est surtout la sécurité renforcée qui motive les acheteurs à investir dans un système domotique. Comment minimiser ces incertitudes ?

Avant tout achat, prenez le temps de vous familiariser avec le concept de sécurité du fournisseur. Quelles sont les fonctionnalités proposées ? Comment fonctionne le chiffrement ? Parmi les points importants à considérer : combien de temps recevrai-je les mises à jour de sécurité, et sont-elles disponibles ? Puis-je changer le mot de passe – les fabricants sérieux le recommandent – ​​et les données transmises sont-elles chiffrées ? Les mises à jour sont-elles installées automatiquement, ou est-ce configurable ? La plateforme indépendante av-test.de constitue un bon point de départ. Il existe également des appareils domotiques sans accès à Internet ni communication avec le fournisseur. En cas de doute, privilégiez cette option. Vous trouverez également des informations utiles sur la page dédiée à la maison connectée du rapport spécial « BSI pour les citoyens », publié par l’Office fédéral de la sécurité des technologies de l’information (BSI).

Quelle direction prendra le développement futur des technologies ?

Les fabricants travaillent actuellement à combiner des composants qui fonctionnent actuellement indépendamment afin de créer des routines spécifiques. La commande « Alexa, lance le programme du matin ! » suffirait alors à chauffer la salle de bain, ouvrir les stores, préparer le café et rechercher votre station de radio préférée. À l'avenir, ces routines seront également contrôlables depuis la voiture. Ainsi, si je veux faire quelques courses en rentrant, je pourrai demander ce qu'il y a déjà dans le réfrigérateur.

Très pratique. Votre maison est-elle intelligente ?

Malgré les nombreux avantages d'une maison connectée, la mienne est plutôt traditionnelle. Pour la sécurité, je privilégie toujours un système antivol mécanique.

Merci pour cette conversation instructive, M. Schulik !