La grande vulnérabilité en matière de sécurité des objets connectés inquiète, comme je l’ai déjà évoqué fin octobre. À cette époque, des pirates avaient fait « tomber » d’importants sites américains en détournant et en pilotant à distance des milliers de caméras de surveillance domestiques et divers objets connectés afin de s’en servir pour l’attaque.
Il faut rappeler que ces accessoires sont rarement sécurisés et présentent une porte d’entrée évidente pour un pirate souhaitant pénétrer dans un réseau. Les mots de passe de ces objets sont souvent très simples et systématiquement les mêmes. Ainsi, il n’est pas rare que l’identifiant et le mot de passe soient admin ou encore 123456. La plupart des utilisateurs se contentent de brancher le matériel et ne se soucient alors pas de modifier ce mot de passe. De même, de très nombreux accessoires connectés ne disposent que d’un petit code à quatre chiffres qui est souvent 0000 ou 1234, et il n’est pas possible de le modifier.
Pour le pirate, ces failles sont autant de points d’entrée dans un réseau domestique. Pour s’en assurer, il suffit d’utiliser un site baptisé Shodan. Ce moteur de recherche en anglais est très particulier. Il va scanner l’ensemble des objets connectés à Internet sur la Terre entière et détecter ceux qui sont mal sécurisés.
J’ai fait l’expérience, en partant à la recherche de caméras connectées. Il y en avait des milliers. En tapant simplement admin (en identifiant) et admin (en sésame), cela m’a permis d’accéder à la console de gestion d’une caméra de surveillance d’un domicile aux États-Unis. J’aurais pu la couper, prendre des clichés, ou observer les habitants…
Votre vie privée dévoilée à tous les pirates
Et même si le mot de passe est compliqué, qu’il s’agisse d’un bracelet d’activité physique, d’un thermostat connecté ou de caméras de vidéosurveillance, de très nombreux objets connectés populaires ne chiffrent pas les données échangées sur le réseau et sont facilement accessibles à distance. Cela signifie que vos données personnelles, comme votre adresse et votre date de naissance par exemple, peuvent circuler sur Internet à la vue de n’importe quel pirate du dimanche.
Alors comment faire pour sécuriser tout ce petit monde ? D’abord, en évitant de craquer pour n’importe quel accessoire bon marché. Les firmes ayant le moins pignon sur rue sont celles qui ne feront aucun effort pour renforcer la sécurité de leurs produits. Ensuite, en réalisant régulièrement les mises à jour proposées par le constructeur de chacun des appareils. Ils sont désormais conscients du danger et déploient les uns après les autres des correctifs. Enfin, il faut sortir le mode d’emploi du produit et, si c’est possible, modifier les identifiants proposés par défaut.
Les voies impénétrables du VPN
Toutefois, la parade la plus efficace est celle du VPN. Je vous avais déjà donné un aperçu de ce qu’est un VPN dans un article complet de la lettre J’agis ! avec l’exemple de Cyberghost.
Le procédé est identique sauf que cette fois, ce n’est pas seulement l’ordinateur qui se connecte à un serveur chiffré distant, mais l’ensemble de votre réseau domestique. Ainsi, les appareils connectés seront pratiquement impossibles à détecter, et cela même si votre connexion Internet est précisément ciblée par un pirate. Il ne pourra donc rien tenter contre votre réseau. Rappelez-vous qu’avec ce VPN, ce que l’on appelle l’adresse IP de votre box est masquée et personne ne pourra savoir où vous vous localisez et qui vous êtes.
Il existe plusieurs solutions pour créer ce VPN particulier. La plus simple et la moins onéreuse consiste à brancher un routeur, c’est-à-dire un petit boîtier doté d’un émetteur Wi-Fi et de prises réseau, directement sur votre box Internet. Au lieu d’être connectés à la box, vos appareils le seront à ce routeur. Et c’est justement sur ce même routeur que vous allez installer un programme de VPN gratuit.
Cette procédure nécessite beaucoup d’attention et n’est pas forcément accessible à un néophyte. Il existe toutefois de nombreux tutoriels sur le web pour vous aider. Une fois ce VPN mis en place, vous n’aurez plus qu’à connecter l’ensemble de vos appareils sur ce routeur avec le nom de réseau et le mot de passe que vous aurez déterminés. N’oubliez pas non plus qu’il faut remplacer les identifiants d’accès à la console de réglage de ce routeur, car il s’agit bien souvent d’Admin.
Des solutions clé en main avec abonnement
Voilà pour le principe. Pour les moins aventureux, sachez que certaines sociétés proposent des services clé en main de VPN pour tous les appareils du domicile.
Selon le débit que l’on souhaite, il faut alors opter pour une formule dont le prix est de quelques euros mensuels. L’entreprise vous vend alors un routeur facile à mettre en place et une application permettant de tout configurer très simplement. C’est exactement ce que propose la société française Uppersafe, avec son routeur VPN Upperbox et trois formules d’abonnement allant de 2 à 5 euros par mois.
Ces solutions sont certes efficaces, mais j’ose tout de même espérer que dans l’avenir, les failles de sécurité de ces objets connectés seront comblées et que les échanges seront systématiquement chiffrés.
[Découvrez comment neutraliser les nouveaux pirates du web et protéger vos données personnelles grâce à votre kit de anti-piratage de notre spécialiste ! Plus d’informations en cliquant ici…]
1 commentaire
[…] L’engouement ne cesse de s’amplifier, mais de très nombreux objets connectés ne chiffrent pas les données échangées sur le réseau et sont facilement accessibles à distance. Les données personnelles, peuvent donc circuler à la vue de n’importe qui. Ces objets connectés, rarement sécurisés, présentent une porte d’entrée … Les objets connectés : le maillon faible de la sécurité de votre réseau domestique ? […]