Objets connectés : ce qu'il faut faire pour protéger ses données
Nos maisons seront-elles bientôt pleines d'objets connectés en tous genres ? Oui, affirme le groupe GFK qui assure que d'ici 2020, tout le monde possédera en moyenne une trentaine d'objets connectés chez soi. La raison de cet engouement ? L'arrivée des Gafa (Google, Amazon, Facebook, Apple) qui bouleversent le marché avec leurs enceintes connectées, répond le cabinet d'études Xerfi dans une note publiée en juillet 2017 : Leur déploiement "va permettre le décollage du marché. Ces dispositifs (Google Home, Amazon Echo, Djingo d'Orange ou HomePod d'Apple) serviront à piloter la maison du futur grâce à l'intelligence artificielle".
Mais pour que la magie opère, les fabricants devront répondre "aux enjeux liés à la sécurité des données", précise Xerfi. Car non contents de collecter en permanence une multitude de données, les objets connectés les échangent avec d'autres ou avec des serveurs, parfois à l'insu de l'utilisateur.
Les bonnes habitudes à instaurer
Les particuliers ne sont toutefois pas totalement sans défense face aux nouvelles technologies. "Quelques gestes simples suffisent en matière de protection", assure Erik Boucher de Crevecoeur, ingénieur, expert technologie informatique pour la Commission nationale de l'informatique et des libertés (CNIL). Vérifier, par exemple, que l'objet ne permet pas à n'importe qui de s'y connecter sans recourir à un mot de passe ou physiquement, par un bouton d'accès. "Cela concerne tout ce qui se commande en Bluetooth. Ce mode de connexion permet à n'importe qui de piloter un objet depuis son smartphone", précise-t-il. Dans la mesure du possible, donc, mieux vaut éviter les objets qui ne fonctionnent qu'à partir de cette technologie, car ce sont les plus simples à pirater.
Dans la mesure du possible, mieux vaut éviter les objets qui ne fonctionnent qu'à partir du Bluetooth
Autres conseils rapides à mettre en œuvre mais non moins importants, s'assurer que l'objet dispose d'un voyant lorsqu'il est en écoute ou en transmission d'informations sur Internet, ou encore effectuer régulièrement les mises à jour de sécurité. C'est le meilleur moyen de se prémunir contre d'éventuelles failles de sécurité que le fabricant aurait détectées et corrigées. Une petite enquête au préalable auprès des conseillers en magasin peut aussi s'avérer utile, ces derniers pouvant orienter l'acheteur vers les dispositifs les plus sécurisés, s'il s'agit pour eux d'un critère de choix prioritaire. Quelques rapides recherches sur Internet pourront, elles aussi, porter leurs fruits : il n'existe aucune liste des objets connectés à "blacklister", mais les affaires qui éclatent sont relayées dans la presse. Dernier exemple en date : en octobre 2017, Google a dû retirer du marché ses enceintes Google mini. La machine enregistrait toutes les conversations des usagers à leur insu.
De l'art de rester anonyme sur net
L'anonymisation des données est elle aussi essentielle, comme le rappelle la Cnil dans ses publications : "Les usagers doivent prendre l'habitude de délivrer le moins d'informations personnelles au moment de la création du compte et ne pas hésiter à utiliser un pseudonyme, une date de naissance aléatoire, un âge approximatif. Sans oublier de créer une adresse mail spécifique pour les objets connectés et s'assurer de la possibilité d'accéder aux données et de les supprimer à tout moment." Un conseil beaucoup plus facile à respecter pour une ampoule connectée, qui n'a pas vraiment besoin de connaître votre jour de naissance, que pour l'IA d'une enceinte connectée, qui sera d'autant plus efficace qu'elle vous connaîtra.
L'utilisateur a intérêt à créer une adresse mail spécifique pour les objets connectés et à s'assurer de la possibilité d'accéder aux données et de les supprimer à tout moment
Se pose également la question du mot de passe, trop souvent négligé selon Erik Boucher de Crevecoeur :"80% des mots de passe utilisés par les usagers tiennent en 20 mots. Ce sont les premiers que testent les hackers lorsqu'ils tentent de vous pirater." Parmi eux figurent 12345, azerty, qwerty, password ou encore 123123. Pour ceux qui sont en manque d'inspiration, le mieux est encore de passer par un générateur et de noter la combinaison sortante, souvent difficile à retenir, sur papier libre.
Dernière astuce, plus technique, celle des paramètres par défauts des appareils. Il est important d'y jeter un œil pour désactiver certaines fonctionnalités comme le partage automatique des données sur les réseaux sociaux. Les enceintes intelligentes étant des outils encore récents, mieux vaut éviter de leur communiquer des informations sensibles via la commande vocale, comme un numéro de carte de crédit, et désactiver la fonction d'achat lorsqu'elle n'est pas utile. Enfin, ne pas oublier d'éteindre l'objet connecté lorsqu'on n'en a plus besoin. Car mieux vaut prévenir un piratage que tenter de le guérir...