Objets connectés : quand le cadeau de Noël fragilise le foyer

Constance De Leusse
ENS et SciencesPo

Noël 2025 a vu entrer des millions d'objets connectés dans les foyers, souvent sans garanties suffisantes de sécurité. En 2026, la cybersécurité de l'IoT doit devenir une exigence pour le foyer.

Par Constance de Leusse et Alexander Camacho (INCERT Luxembourg)

Cette année encore, les fêtes de Noël ont été placées sous le signe des objets connectés. Montres de santé, jouets interactifs, caméras domestiques, enceintes intelligentes, serrures ou thermostats connectés : des millions de dispositifs relevant de “l’Internet des Objets” (IoT) ont été achetés, déballés et installés en quelques minutes… sans jamais questionner leurs failles et vulnérabilités.

Car derrière la simplicité d’usage, une réalité s’impose : un objet connecté peut devenir la porte d’entrée pour un acteur malveillant vers tout un foyer numérique. Il collecte, stocke, échange des données, et s’inscrit dans un réseau où la vulnérabilité du maillon le plus faible suffit à compromettre l’ensemble. Un simple jouet ou babyphone mal protégé peut ainsi être exploité pour des attaques d’ampleur contre des systèmes d’information critiques (botnets) ou bien ouvrir la voie à des données beaucoup plus sensibles: photos, vidéos, documents personnels, messages, habitudes de vie.

Pourtant, les solutions techniques sont connues et éprouvées. Les standards internationaux exigent depuis plusieurs années des mesures claires : cryptographie moderne, stockage sécurisé des clés dans du matériel dédié, désactivation des protocoles obsolètes, mécanismes de mise à jour assurant l’intégrité des logiciels, authentification forte fondée sur des identités numériques non clonables. Ces principes ne relèvent pas de la recherche avancée : ils sont déjà appliqués dans des secteurs matures comme l’énergie, l’industrie ou l’automobile.

Le problème n’est pas l’absence de solutions, mais leur application inégale. Les objets destinés au grand public restent souvent ceux où les compromis sont les plus visibles : faiblesse de la gestion des mots de passe, absence de vérification des mises à jour, collecte excessive de données, information minimale voire inexistante pour l’utilisateur. C’est d’autant plus vrai pour des produits low-cost, importés depuis l’étranger et produits par des fournisseurs qui sont peu enclins à suivre les normes techniques sans contrainte réglementaire.  À l’heure où ces dispositifs mesurent nos déplacements, enregistrent nos voix, filment nos intérieurs ou suivent notre santé, ce manque d’exigence n’est plus acceptable.

Plusieurs bonnes pratiques doivent devenir la norme. La sécurité doit être intégrée dès la conception, avec des fonctions essentielles activées par défaut. Les mots de passe par défaut doivent être individualisés. Les mises à jour doivent être automatiques, régulières et protégées. Les objets doivent limiter la collecte au strict nécessaire, offrir des options de déconnexion sûre et être accompagnés d’une information transparente sur leur fonctionnement réel. Enfin, la vérification par des tests indépendants et la certification selon des critères reconnus devraient être généralisées pour garantir un niveau homogène de protection.

L’Europe s’inscrit depuis plusieurs années dans cette direction, en mettant en place des obligations et des normes sur la cybersécurité des produits numériques comme par exemple le Cyber Resilience Act et des normes de référence pour l’IoT (ETSI EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements, publiée en 2024). Le renforcement récent et futur de ce cadre est une occasion historique de rehausser le niveau de sécurité des objets connectés grand public, et de mettre fin à un modèle où la protection dépend des arbitrages budgétaires de chaque fabricant. La cybersécurité tend ainsi à être considérée comme un élément de sécurité physique et numérique à part entière, au même titre que l’isolation électrique ou la résistance mécanique d’un produit.

Après ce Noël 2025, cette nouvelle année 2026 doit être un tournant. Les familles ne devraient plus avoir à choisir entre innovation et sûreté, ni devenir expertes pour sélectionner un objet fiable. Un appareil connecté n’est pas un simple gadget : c’est un maillon de notre vie numérique. S’il n’est pas sécurisé, c’est tout le foyer qui devient vulnérable.

Les outils existent, les bonnes pratiques aussi. Leur généralisation est désormais indispensable. Connecter ne suffit plus. Il faut protéger.