Domotique :
la porte ouverte aux hackers ?
En 2020, il y aura 30 milliards d’objets connectés dans le monde face à 26 milliards en 2019, soit 4 objets par foyer, selon une étude de Statista. Le piratage de ces derniers peut donc devenir un vrai danger pour leur utilisateur.
Pour les moins technophiles d’entre nous, les objets connectés sont des objets liés à un réseau, -l’Internet des Objets (IoT)- qui recueillent des données, les analysent et les transfèrent. On retrouve des appareils connectés de toutes sortes, du smartphone aux voitures en passant par les brosses à dents. La majeure partie est destinée au milieu professionnel, mais la domotique (automatisation de la maison) connaît une croissance grandissante. Elle englobe tous les appareils connectés présents dans les habitations comme les caméras, ampoules, enceintes, télévision, etc.
Objets connectés chez les français
Webcam portable par Guillaume Tournier
D’après un sondage d'OpinonWay pour DistreeConnect, les français possédaient déjà en 2017 un grand nombre d'objets connectés.
En tête du classement on retrouve sans surprise la télévision connectée, dont 29% des français ont en possession.
Un logiciel pour hackers
« Shodan », un site qui répertorie et donne accès à un grand nombre d’objets connectés (webcams, micros, décodeurs,…) à travers le monde permet, sans connaissance en piratage informatique, d’observer des gens dans leur intimité, de les espionner au travail, dans l’espace public,… sans qu’ils en soient conscients. Si ce site n’est pas illégal, son éthique est en revanche toute relative.
Screenshot du site Shodan par Guillaume Tournier
Une image vaut mieux que mille mots, alors nous y avons fait un tour pour en avoir le cœur net.
Résultat : nous avons eu accès à la caméra d'une imprimante 3D filmant son propriétaire en plein travail, une webcam dans le salon d'un appartement parisien pendant qu'un jeune adolescent passait un coup de téléphone, une caméra dans la salle à manger d'une famille sud-américaine durant leur repas ( dont un accès au micro et au contrôle de la caméra ), etc.
Extraits d’enregistrement de webcams par Guillaume Tournier
L'écran de contrôle de la dernière caméra, avec lequel il est possible de zoomer en direct dans la vidéo, activer la vision nocturne, arrêter l’enregistrement en cours et beaucoup d'autres options accessibles à tous.
Screenshot d'un écran de contrôle de webcam par Guillaume Tournier
En combinant « Shodan » et « Metasploit », une autre plateforme procurant des données sur les vulnérabilités de systèmes informatiques, le hacker, qui officie sous le pseudonyme de VectorSEC crée « AutoSploit », un logiciel permettant de pirater automatiquement les appareils connectés en masse. Il suffit donc d’écrire quelques mots clés pour pirater des appareils électroniques, avec une facilité déconcertante.
Screenshot du site pour télécharger Autosploit par Guillaume Tournier
Pratique, la domotique simplifie notre quotidien mais elle est aussi une source de danger, une fragilité. Si ces piratages sont si simples c’est aussi parce que la sécurité des innovations connectés n’est pas toujours optimisée par les constructeurs, souvent pour faire baisser les coûts. Selon Zener Rasamoelison, ingénieur chez Eridanis, entreprise de conseil dédiée à l’Internet des Objets, si un appareil se fait hacker « ça vient souvent de défauts de confection qui n’ont pas été pensés et malheureusement le particulier ne peut pas agir sur l’IoT ».
Un mixeur espion ?
« Un objet connecté à internet est potentiellement hackable, par définition » souligne Zener Rasamoelison. Aujourd’hui, n’importe quel objet que l'on utilise dans notre quotidien devient connecté et est alors possiblement piratable, ce qui augmente exhaustivement les risques pour chaque personne.
C’est le cas de Monsieur Cuisine, le robot de chez Lidl, concurrent du Thermomix, qui s’est fait pirater par deux étudiants bretons (Alexis Viguié et Adrien Albisetti connus sur les réseaux sous les pseudos de @Siphonay et @Sinuso). Ils ont réalisé l’exploit de jouer à Doom et de regarder Youtube sur un appareil totalement inapproprié.
Screenshot de Reddit par Guillaume Tournier
« Adrien avait remarqué que l’appareil tournait sous Android, et j’étais familier avec ce système » explique Alexis, en précisant qu’avec seulement quelques « connaissances sur la manipulation de systèmes Android […] ça nous a pris 1 heure environ en essayant d’interpréter le tutoriel à l’aide de google traduction depuis l’allemand ».
Screenshot de Github par Guillaume Tournier
Après s'être amusé avec le robot de cuisine, les deux hommes ont eu la surprise d’y trouver un micro dissimulé et des failles de sécurité de l’OS, ce qui peut fortement inquiéter les propriétaires de ce genre d’appareils.
Lidl se contentera suite à cette "performance" de justifier la présence du micro caché par l'hypothétique mise en place d’un assistant vocal dans leur ustensile de cuisine et de spécifier cette présence sur le manuel d’utilisation du robot. Selon leurs conditions d’utilisation, ils respectent la RGPD (Règlement Général sur la Protection des Données).
Screenshot du site monsieur cuisine par Guillaume Tournier
« Les particuliers ne portent pas plainte »
Montant des dommages pécuniaires causés par la cybercriminalité signalée à l'IC3 de 2001 à 2018
Le montant des dommages pécuniaires (en dollars) causés par la cybercriminalité signalée à l'Internet Crime Complaint Center
(Centre de traitement des Plaintes relatives à la Criminalité sur Internet) de 2001 à 2018 est en constante augmentation, selon un rapport de Statista.
C'est en 2015, la première fois que le montant a dépassé le milliard.
Le secteur de la domotique est de plus en plus menacé par la cybercriminalité. Le nombre de failles de sécurité des objets connectés a doublé depuis 2013, d’après les chercheurs d’Independant Security Evaluators. Avec un investissement en 2018 estimé à 600 milliards de dollars par McAfee, société spécialisée dans la protection contre les attaques informatiques, les constructeurs semblent avoir pris la mesure de l’ampleur du problème.
Quant aux particuliers, victimes de ces piratages, ils ne se tournent pas forcément vers la police pour les dénoncer. « En général, les particuliers, lorsqu’ils ont une fraude, ils ne portent pas plainte : on a détourné leurs données dans la majeure partie des cas », témoigne l’avocat Alain Bensoussan, spécialiste en Droit des nouvelles technologies de l’informatique et de la communication.
Tant que leur vie ou leurs biens matériels ne sont pas menacés, les gens ne se rendent pas forcément compte de l'importance de la protection de leurs données.
Malgré ça, on peut observer une prise en compte importante de la loi pour protéger les citoyens et leurs données personnelles face aux grands groupes (GAFAM) et aux potentiels hackers avec la mise en place du RGPD (Règlement Général sur la Protection des Données) depuis mai 2018 en U.E.
Différentes sortes
de hacking
Le plus souvent indirectes, ces attaques peuvent avoir de lourdes conséquences, comme c’est le cas du déni de service, qui consiste à saturer un serveur par l’envoi de très nombreuses requêtes en même temps.
Pour cela, le hacker a pris la main en toute discrétion de millions d'objets connectés en tout genre sans que leur propriétaire soit au courant. C’est ce qu’il s’est passé en octobre 2016 où plusieurs grands sites internet américains (Netflix, Spotify, Twitter, PayPal,…) ont été rendus indisponibles durant 10h.
Lumières connectées par Guillaume Tournier
Caméra connectée par Guillaume Tournier
Montre connectée par Guillaume Tournier
Quant aux cas plus rares de hacking directs, ceux qui visent une personne ou une entreprise en particulier pour lui voler ses données personnelles ou porter atteinte à sa vie privée, ils sont plus dangereux.
Comme pour les personnes possédant un pacemaker connecté, pouvant être contrôlé à distance. En modifiant le rythme cardiaque de son possesseur il serait même possible de le tuer. Des sextoys connectés donnant des informations sur où, quand et comment est utilisé l’objet intime peuvent aussi intéresser des personnes mal intentionnées. Les contrôler à distance, sans l’autorisation de leur utilisateur peut poser des questions d'agressions sexuelles.
Une nouvelle justice pour une nouvelle technologie
Alain Bensoussan indique malgré tout qu’aujourd’hui, « le droit donne des solutions. La loi sur la fraude informatique est parfaitement applicable, les sanctions sont très importantes, il n’y a pas de déficit juridique ». La sécurité de nos données et la nôtre en tant qu'individu ne sont pas prise à la légère par les tribunaux. Actuellement, tout est mis en place pour que ce genre d’affaire soit traitée au mieux et au plus vite.
Néanmoins une adaptation de la justice face à l'arrivée des objets connectés reste nécessaire. Le risque de piratage étant grandissant (plus de 850 millions de victimes de cyber-crimes l'année dernière, selon un sondage d’Harris Poll pour Symantec en octobre 2018), il peut arriver que les cours d'assises fassent face à de nouvelles situations inédites. Même si les objets connectés aident de plus en plus la police dans la résolution d’enquêtes, le risque de « crimes connectés » devient un sujet préoccupant.
« Un hacker peut risquer jusqu’à
10 ans de prison »
Jérôme Deroulez
Les objets connectés deviennent de plus en plus utiles à nos vies et sont même parfois nécessaires dans certaines professions. Déjà quatre fois plus nombreux que les humains à l'heure actuelle, dans les années à venir il faut s’attendre à ce qu'ils envahissent nos salles de bain, cuisines, chambres jusqu’à nous suivre dans la rue. L'arrivée de la 5G très prochainement laisse une ouverture grandissante aux appareils connectés.
Ces outils censés nous faciliter la vie, nous faire gagner du temps et nous rendre plus efficaces, nous rendent surtout dépendants. Nous sommes voués à un futur avec des maisons complètement connectées, des voitures autonomes et des voisins augmentés.
Même si aujourd’hui il est rare de voir une cyberattaque viser un individu en particulier et qu'en cas de problème la justice a les moyens de rétablir l'ordre et faire appliquer les sanctions nécessaires ; dans un monde où règnent les intelligences artificielles, la moindre faille de sécurité peut être fatale à la stabilité sociale et au contrôle de sa propre vie.
le 18/12/2019