Les maisons deviennent plus intelligentes :des thermostats intelligents gèrent notre chauffage, tandis que des réfrigérateurs intelligents peuvent surveiller notre consommation alimentaire et nous aider à commander nos courses. Certaines maisons ont même des sonnettes intelligentes qui nous indiquent qui est à notre porte. Et bien sûr, les téléviseurs intelligents nous permettent de diffuser le contenu que nous voulons regarder, quand nous voulons le regarder.

Si tout cela semble très futuriste, une enquête récente nous indique que 23 % des personnes en Europe occidentale et 42 % des personnes aux États-Unis utilisent des appareils intelligents à la maison.

Bien que ces appareils intelligents soient certainement pratiques, ils peuvent également présenter des risques de sécurité. Tout appareil disposant d'une connexion Internet peut être compromis et pris en charge par des attaquants.

Si un appareil intelligent compromis possède une caméra ou un microphone, un attaquant peut y accéder et toutes les données sur l'appareil peuvent être lues, visualisées, copiées, modifiées ou effacées. L'appareil intelligent compromis peut commencer à regarder votre trafic réseau, essayant de trouver vos noms d'utilisateur, mots de passe et données financières. Il peut sembler prendre le dessus sur d'autres appareils intelligents que vous possédez.

Par exemple, un attaquant pourrait régler la température d'un thermostat intelligent, rendant la maison trop chaude, et exiger le paiement d'une rançon pour vous permettre de reprendre le contrôle de votre chauffage central. Alternativement, un système de vidéosurveillance intelligent peut être pris en charge et les données surveillées par un attaquant ou supprimées après un cambriolage.

Les appareils intelligents peuvent également être amenés à attaquer d'autres systèmes. Votre appareil intelligent peut faire partie d'un "botnet" (un réseau d'appareils intelligents compromis sous le contrôle d'une seule personne). Une fois compromis, il recherchera d'autres appareils intelligents à infecter et à recruter dans le botnet.

La forme la plus courante d'attaque de botnet est appelée attaque par déni de service distribué (DDoS). C'est là que le botnet envoie des centaines de milliers de requêtes par seconde à un site Web cible, ce qui empêche les utilisateurs légitimes d'y accéder. En 2016, un botnet appelé Mirai a temporairement bloqué l'accès à Internet pour une grande partie de l'Amérique du Nord et certaines parties de l'Europe.

En plus des attaques DDoS, vos appareils intelligents peuvent être utilisés pour diffuser des ransomwares, des logiciels qui cryptent un ordinateur afin qu'il ne puisse être utilisé qu'après le paiement d'une rançon. Ils peuvent également être impliqués dans le cryptominage (le "minage" de monnaies numériques qui rapporte de l'argent à l'attaquant) et la criminalité financière.

Il existe deux manières principales de compromettre un appareil intelligent. Le premier est via de simples informations d'identification par défaut, c'est-à-dire qu'un appareil intelligent a un nom d'utilisateur et un mot de passe très basiques préinstallés, tels que "admin" et "mot de passe", et l'utilisateur ne les a pas modifiés.

La seconde est due à des erreurs dans le code de l'appareil intelligent, qu'un attaquant peut utiliser pour accéder à l'appareil. Ces erreurs (appelées vulnérabilités) ne peuvent être corrigées que par une mise à jour de sécurité publiée par le fabricant de l'appareil et connue sous le nom de "correctif".

Comment être intelligent ET en sécurité

Si vous songez à acheter un nouvel appareil intelligent, voici cinq questions à garder à l'esprit qui peuvent aider à accroître la sécurité de votre nouvel appareil et de votre maison. Ces questions peuvent également vous aider à vous assurer que les appareils intelligents que vous possédez déjà sont sécurisés.

1. Ai-je vraiment besoin d'un appareil intelligent ?

Bien que la connectivité Internet puisse être une commodité, est-ce réellement une exigence pour vous ? Les appareils qui n'ont pas de connexion à distance ne présentent pas de risque pour la sécurité, vous ne devriez donc pas acheter un appareil intelligent à moins que vous n'ayez réellement besoin que votre appareil soit intelligent.

2. L'appareil dispose-t-il d'identifiants simples par défaut ?

Si tel est le cas, il s'agit d'un risque sérieux jusqu'à ce que vous changiez les informations d'identification. Si vous achetez cet appareil et que le nom d'utilisateur et le mot de passe par défaut sont faciles à deviner, vous devrez les remplacer par quelque chose que vous seul connaîtrez. Sinon, l'appareil est très vulnérable à la prise en charge par un attaquant.

3. L'appareil peut-il être mis à jour ?

Si l'appareil ne peut pas être mis à jour et qu'une vulnérabilité est découverte, ni vous ni le fabricant ne pourrez empêcher un attaquant de s'en emparer. Vérifiez donc toujours auprès du vendeur que le logiciel de l'appareil peut être mis à jour. Si vous avez le choix, vous devez choisir un appareil avec des mises à jour automatiques, plutôt qu'un appareil sur lequel vous devez installer les mises à jour manuellement.

Si vous possédez déjà des appareils qui ne peuvent pas être mis à jour, envisagez de supprimer leur accès Internet (en les déconnectant de votre réseau Wi-Fi) ou d'en acheter de nouveaux.

4. Combien de temps le fabricant s'est-il engagé à prendre en charge l'appareil ?

Si le fabricant cesse de publier des mises à jour de sécurité, votre appareil sera susceptible d'être compromis si une vulnérabilité est découverte par la suite. Vous devez confirmer auprès du vendeur que l'appareil sera pris en charge au moins aussi longtemps que vous prévoyez de l'utiliser.

5. Le fabricant exécute-t-il un programme "bug bounty" ?

Il s'agit de programmes dans lesquels une entreprise paiera une récompense à quiconque identifie des vulnérabilités dans sa base de code. Toutes les entreprises ne les exploitent pas, mais elles suggèrent que le fabricant prend au sérieux la sécurité de ses produits. Les détails seront sur le site Web du fabricant.

Il n'est pas facile de savoir si votre appareil intelligent a été piraté. Mais tant que vos appareils intelligents sont pris en charge par leurs fabricants, se mettent à jour quand ils en ont besoin et sont fournis avec des informations d'identification solides, il ne sera pas facile pour un attaquant d'y accéder.

Si vous craignez que votre appareil ait été piraté, effectuez une réinitialisation d'usine, modifiez le nom d'utilisateur et le mot de passe en quelque chose de nouveau et unique, et appliquez toutes les mises à jour disponibles.