Serrures intelligentes qui permettent d’ouvrir une porte à distance.
Assistants vocaux type Alexa, connectés à d’autres objets de la maison.
Thermostats connectés.
Robots aspirateurs…
La liste d’objets domestiques en version “smart”, promettant une vie plus efficiente, est de plus en plus longue. On estime à 17 milliards le nombre de dispositifs d’IoT (Internet of things) dans le monde. Mais quand on adopte telle ou telle technologie, on doit se rappeler qu’un troc se produit toujours, au-delà du prix qu’on paie pour elle. Si vous êtes en train de penser à acheter un aspirateur Roomba ou de remplacer la porte de votre maison en version intelligente, vous devriez connaître avant le coût réel que cela présentera pour vous et les risques auxquels vous vous exposez.
Pour nous aider à établir cette analyse coûts-bénéfices et passer en revue les risques de vivre dans une maison de plus en plus “smart”, nous interviewons un des plus grands experts mondiaux en cybersécurité: Alejandro Romero, co-fondateur de Constella Intelligence (une des entreprises le plus en pointe sur la protection contre les risques numériques), professeur à Sciences Po et conseiller de nombreux gouvernements et entreprises telles que Telefónica Tech.
Vulnerables
Les risques de vivre entouré d’objets connectés
Question. Est-ce qu’un expert en cybersécurité comme vous est préoccupé par la déferlante d’objets connectés dans nos foyers, étant donné les vulnérabilités qui les caractérisent ?
Réponse. Il y a trois principaux facteurs de risques dont les utilisateurs ne sont pas suffisamment conscients :
1) Les dispositifs connectés, en particulier ceux qui interagissent avec les utilisateurs de façon naturelle comme Alexa, capturent un volume significatif de données personnelles qui pourrait être exposée à des tiers dans le futur —si ces dispositifs sont hackés ou si, par erreur, ces informations sont exposées.
2) S’ils sont hackés, ils permettent de prendre le contrôle de notre maison, c’est-à-dire, d’une bonne partie de notre vie.
3) Même si les dispositifs connectés sont sûrs, la réalité est qu’ils sont gérés par des humains qui peuvent être trompés par des techniques habituelles de phishing ou similaires, qui permettent à des tiers d’en acquérir l’accès et le contrôle.
J’ajoute que, même quand on n’est pas la cible de hacking, les compagnies derrière ces dispositifs peuvent utiliser les données qu’elles captent pour améliorer leur profilage des utilisateurs et, à partir de là, développer des moyens pour influencer leurs décisions, notamment à travers une publicité encore plus personnalisée.
P. À quel point est-il facile de hacker ce type d’objet intelligent ? Est-ce que l’IA aide à automatiser et à augmenter l’échelle de ces attaques ?
R. Tous les dispositifs et objets connectés ont un élément en commun : ils dépendent d’un software installé sur eux-mêmes ou sur le cloud. On sait que n’importe quel software présente nécessairement un problème de sécurité.
La facilité ou difficulté de hacker un software dépend d’un nombre infinis de facteurs, en particulier quand on parle de milliards de dispositifs produits, de fabricants et de technologies. Mais on sait que n’importe quel software est susceptible d’être hacké et les objets connectés n’échappent pas à cette règle.
L’IA va sans aucun doute favoriser qu’ils soient plus vulnérables — elle peut déjà identifier et proposer comment attaquer un software et produire son propre code informatique pour le faire, et ainsi, aider à orquestrer une attaque.
Scandales en série
En 2019, il fut révélé que les thermostats Nest (acquis par Google) dissimulaient un micro sans que les clients n’en soient informés.
Amazon a écouté les conversations à travers Alexa (et contrairement à ce que l’entreprise affirmait, les employés pouvaient même identifier facilement le client écouté).
Les jouets sexuels connectés We-vibe ont dû indemniser leurs clients après avoir surveillé leur activité ; d’autres comme Lovense Hush étaient facilement hackables à travers le bluetooth ou d’autres méthodes.
P. Peut-on faire confiance à la big tech au point de les laisser envahir aussi profondément nos foyers?
R. Nous affrontons ce problème depuis déjà 20 ans : nous avons accepté de fournir un volume considérable de données personnelles et sensibles à un groupe réduit d’entreprises technologiques globalisées.
"Il est plus dangereux de mettre Alexa sur la table que d'avoir un inconnu qui vous observe tous les jours dans votre salon", Paloma Llaneza, El País, 2019
Peut-être devrions nous poser ce problème complexe non pas en termes de confiance mais sous un angle différent, en ligne avec les textes en train d’être adoptés par les autorités européennes :
Quelles sont les garanties que nous devons apporter aux citoyens qui utilisent ces services ?
À quelles obligations d’information sur leurs propres activités ces compagnies doivent-elles être soumises ?
À quel point doivent-elles êtres tenues responsables des conséquences de l’utilisation de leurs services ?
P. Certes, les smartphones captent déjà une quantité énorme de données, mais en matière d’intimité, les objets “smart” semblent abattre une barrière supplémentaire. Êtes-vous préoccupé que cela puisse participer à un type de surveillance également étatique de type orwellien/chinois ?
R. Je considère qu’il est important de se souvenir que les objets connectés, par définition, ne sont pas isolés ! C’est à dire qu’ils s’intègrent à un écosystème numérique dans lequel nous vivons déjà et ils vont produire des effets de réseau.
Il existe des cas préoccupants de grandes entreprises qui ont agi comme médiateurs entre citoyens et gouvernements désireux d’accéder à leurs données. Mon impression est que ce type de situation va se multiplier et il n’est pas certain que les citoyens soient conscients de ces dangers.
Depuis le 11 septembre, en particulier aux États-Unis mais également dans d’autres démocraties, l’infrastructure de surveillance a été impulsée par une collaboration étroite entre les grandes entreprises technologiques et les États. Pour une généalogie plus détaillée de ce processus, vous pouvez consulter Anesthésiés (chapitre 4), dans lequel je passe en revue les étapes qui ont conduit à un appareil de contrôle sur les citoyens.
P. Que puis-je faire à titre personnel ? Est-ce que les risques de ces dispositifs se voient compensés par leurs bénéfices pratiques ? Considérez-vous raisonnable la recommandation de ne pas connecter les infrastructures basiques de nos foyers à moins qu’il n’y ait pas d’autre option ?
R. Je ne suis pas sûr qu’on puisse gérer ces risques à travers nos décisions personnelles. Notre voisin pourrait installer une sonnette intelligente avec une caméra et un micro à sa porte, et cela violerait notre intimité sans que cela dépende de nous.
Mais il est tout de même possible de gérer et mitiger les risques qu’elles impliquent, par exemple :
En isolant notre réseau domestiques d’autres réseaux (en confiurant un réseau wifi d’invités pour les dispositifs d’IoT de notre foyer)
En établissant des mots de passe sûrs, difficiles à déchiffrer, pour tous ces dispositifs et les smartphones.
En changeant le nom d’utilisateur et le mot de passe par défaut de notre router. Il faut toujours utiliser une authentification WPA pour créer un résau sûr.
En utilisant des firewalls sur n’importe quel ordinateur et router. La majorité des routers en a déjà un intégré à son hardware, mais il doit être activé par l’utilisateur.
En exécutant toujours les actualisation et correctifs de sécurité. Les softwares obsolètes contiennent des vulnérabilités qui les rendent plus faciles à exploiter pour des pirates informatiques.
Je suis d’accord avec Alejandro sur le fait qu’il n’est pas réaliste de penser qu’on va tout résoudre à travers des actions individuelles, mais ses recommandations montrent qu’on ne doit pas pour autant baisser la garde, et qu’on a même le devoir de nous protéger. Alors peut-être la première question qu’on devrait se poser est : Est-ce que je souhaite vraiment mettre mon intimité à découvert, livrer une quantité de données, et même les clés de ma maison, à des compagnies qui pourront les exploiter de diverses formes, tout cela pour un peu de confort ?
P. Au niveau de la régulation, auriez-vous des recommandations spécifiques concernant les objets domestiques connectés ou vous pensez qu’on peut s’appuyer sur l’arsenal législatif existant ou en préparation ?
R. Le Digital Markets Act (DMA) de l’Union européenne constitue probablement la politique numérique la plus avancée du monde et il a pour objectif d’élargir le pouvoir de négotiation de l’UE sur les entreprises de plateformes majeures, en unifiant les règles de l’économie numérique des États membres et en menant des enquêtes au niveau de l’UE pouvant conduire à des sanctions. Il reste à voir si la Commission arrivera à faire appliquer cette loi.
Début 2022, la Commission a publié les résultats de ses propres investigations sur l’Internet des objets (IoT) et a signalé des préoccupations similares à celles que nous avons mentionnées ici. Un facteur important à prendre en compte vis-à-vis de la régulation concerne son impact sur l’innovation, c’est-à-dire que si nous établissons des restrictions trop strictes aux compagnies, cela pourra brider leur capacité à innover.
En tant que consommateur, j’aimerais beaucoup pouvoir comprendre de manière claire et simple à tout moment :
quelles données sont stockées ;
où elles sont stockées géographiquement ;
pour quoi elles sont utilisées et si elles sont cédées à des tiers ;
si le dispositif intelligent est en train d’être hacké.
Tout ceci est techniquement possible et en grande partie, ces points vont être abordés par la régulation, même si, pour l’utilisateur moyen, je trouve qu’il n’est pas suffisamment simple d’accéder et de comprendre ces informations.
OFF #10 | La newsletter pour reprendre le contrôle
Septembre 2023
Les dangers d'habiter une maison "smart"
Suscríbete a OFF, la newsletter para retomar el control.
Una vez al mes, propongo una reflexión sobre una faceta específica de la influencia de la tecnología digital en nuestras vidas para ayudar a entender mejor la transformación acelerada de nuestro día a día.