Objets connectés : n’oubliez pas de les sécuriser !

14 décembre 2015

On peut désormais retrouver les objets connectés dans tous les domaines : la domotique, le sport, le bien-être et la santé, les activités de loisirs. Parce qu'ils génèrent une grande quantité de données qui peuvent être stockées sur Internet, il est essentiel de bien les sécuriser.
  1. Quels sont ces objets connectés et leurs usages ?

Les objets connectés sont des objets dotés de moyen de communication avec ou sans fil (Wi-Fi, Bluetooth, 3G, etc.). On peut désormais les retrouver dans tous les domaines : la domotique, le sport, le bien-être et la santé, les activités de loisirs, etc. Les premiers objets connectés de loisirs étaient essentiellement des bracelets ou de petits capteurs de type podomètre principalement destinés à mesurer le nombre de pas, les calories dépensées ou le sommeil.

Sont ensuite venus les montres connectées et les objets liés à l’habitat comme les ampoules ou les thermostats connectés, les modèles de drones pilotés par smartphone, qui sont souvent, de plus, dotés d’un appareil photo ou d’une caméra vidéo. Apparaissent également de nouveaux jeux et accessoires interactifs (gants, bracelets) qui proposent des activités mêlant le réel et le virtuel. 

  1. Comment fonctionnent tous ces objets connectés ?

Ces objets peuvent être autonomes ou peuvent fonctionner avec un smartphone ou une tablette. Ce dernier sert de télécommande pour les contrôler directement ou servir de relais pour échanger des données sur Internet. Ces données sont alors consultables sur l’appareil mobile ou sur le service web de l’éditeur. 

  1. Comment protéger ses données personnelles dans cet "internet des objets" ? 

Les objets connectés semblent anodins et s’intègrent facilement dans la vie quotidienne mais les données qu’ils traitent ne sont pas anodines. Il faut être vigilant sur la manière de partager et de donner des accès à ces données.

La CNIL recommande ainsi :

  • de vérifier a minima que l’objet ne permet pas à n’importe qui de s’y connecter, par exemple en vérifiant que son appairage avec un smartphone ou depuis Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe ;
  • de changer le paramétrage par défaut de l’objet (mot de passe, code PIN, etc.),
  • de sécuriser l’accès par un mot de passe l’écran de déverrouillage du smartphone (ou de la tablette) et le réseau WiFi utilisé avec l’objet connecté;
  • d’être d’autant plus vigilants sur les aspects de sécurisation lorsque les objets produisent des données sensibles, sur votre santé ou sur vos enfants ;
  • d’être attentif concernant votre vie privée et celle des autres si vous associez l’objet à des réseaux sociaux, notamment en désactivant le partage automatique des données ;
  • de s’assurer de la possibilité d’accéder aux données et de les supprimer
  • d’éteindre l’objet quand il ne sert pas ou pour éviter de capter des données sensibles.

Dans le cas des objets qui nécessitent l’ouverture d’un compte en ligne, il est recommandé :

  • d’utiliser au maximum des pseudonymes au lieu de vos véritables noms et prénoms ;
  • de ne communiquer que le minimum d’informations nécessaires au service (par exemple, donnez une date de naissance au 1er janvier si le système a besoin de déterminer un âge) ;
  • de créer et de communiquer une adresse de messagerie différente pour chaque objet, chaque service en ligne, et d’éviter d’utiliser une adresse qui serait partagée par les personnes de votre foyer (famille.dupont@...) ;
  • de sécuriser l’accès au compte en ligne par un mot de passe fort et différent de vos autres comptes.

Avant la mise au rebut ou un changement d’utilisateur (revente, vol, etc.), pensez à :

  • supprimer l’association de l’objet avec vos différents comptes, notamment l’association avec les réseaux sociaux ;
  • effacer les données sur l’objet et supprimer le compte en ligne s’il n’est plus utilisé,
  • utiliser la fonction « réinitialiser les paramètres d’usine » de l’objet si disponible.
  1. Quels sont les risques sur la vie privée concernant les objets connectés ?

L’usage de votre objet connecté génère une grande quantité de données qui peuvent être stockées sur Internet (informations de profil, données liées à l’environnement, la localisation de l’utilisateur, au fonctionnement de l’objet, messagerie intégrée…). De plus, certains fabricants qui ajoutent une connectivité à leurs produits ne disposent pas toujours d’une vraie culture de la « sécurité informatique ». Ceci aboutit parfois à des solutions techniques mal sécurisées : mots de passe non chiffrés, service web présentant des failles de sécurité qui laissent accéder à toute sa base de données…

Le risque le plus important est la réutilisation malveillante des informations personnelles volées pour accéder à d’autres comptes en ligne de ces personnes, à des moyens de paiement ou à des demandes de crédits. Il faut donc, le plus rapidement possible, remplacer les mots de passe et les questions secrètes qui ont été révélés, et ce sur l’ensemble des services où ceux-ci seraient utilisés (banques, assurances, sites marchands, réseaux sociaux…).

L’autre risque majeur est celui d’actions ciblées de la part de personnes malveillantes (hameçonnage, harcèlement) touchant potentiellement des enfants et leur famille à travers des messages très personnalisés.

  • Les messages reçus sur les adresses électroniques concernées par le vol devront être traités avec précaution, qu’ils semblent provenir d’amis, du fabricant ou d’organismes officiels.
  • Avant d’ouvrir une pièce jointe, il faut bien vérifier la provenance et la légitimité du message, et à ne pas cliquer directement sur les liens proposés dans celui-ci.
  • Enfin, plus généralement, il faut prendre en compte tous les risques liés à la diffusion d’informations personnelles sensibles (messages privés, photos personnelles, données touchant à la santé ou à la vie familiale). Demander la suppression de ces informations auprès des entreprises concernées, des réseaux sociaux et des hébergeurs, ainsi que leur déréférencement des moteurs de recherche. Ce droit de suppression doit s’exercer directement auprès des acteurs impliqués ; en cas de difficulté, il est possible de s’adresser à la CNIL.