C’est arrivé près de chez vous
Juin 2017, le FBI diffuse un avertissement auprès de ses employés et parents : les jouets connectés à Internet pourraient espionner toute la famille secrètement. « Ces jouets contiennent généralement des capteurs, des microphones, des caméras, des composants de stockage de données et d’autres fonctionnalités multimédias, y compris la reconnaissance vocale et des options GPS« déclare l’agence fédérale américaine. Des jouets high-techs qui pourraient être piratés pour orchestrer, par exemple, enregistrement vidéo, audio des enfants, mais aussi des parents, à leur insu.
Une alerte qui dépasse les mers et les océans. En février 2017, l’Allemagne interdisait la vente de la poupée « My Friend Cayla ». Une interdiction ordonnant même de retirer toutes les poupées des rayons. Le régulateur allemand des télécommunications avait découvert que la poupée pouvait être piratée. Un malveillant pouvait enregistrer les conversations privées transmises via la connexion Bluetooth de la poupée.
On parle jouet, mais prudence aussi avec les caméras de vidéosurveillance sur IP, les babyphones et autres enceintes connectées. En juin 2018, Jamie Summitt, une américaine d’une trentaine d’années, expliquait sur Facebook comment elle avait découvert que son bébé était cyber surveillé par un inconnu. Jamie conseille depuis aux parents de faire attention aux appareils utilisant le wifi, achetés via des boutiques Chinoises.
Ce que vous risquez
Faut-il le rappeler sans cesse, mais les appareils connectés demandent, dans la quasi-totalité des produits existants aujourd’hui sur le marché, de s’inscrire sur un site Internet, souvent celui du fabriquant. Première collecte de données vous concernant. Comme le rappelle la CNIL, il faut en dire le moins possible au moment de l’inscription. Créé une adresse électronique (fiche mail). La seconde collecte se déroule lors du fonctionnement de l’appareil. La majorité des objets collectés communiquent des informations sur les serveurs des fabricants. Comme ce clavier d’ordinateur vendu par la cyberboutique Alibaba. Chaque touche pressée était communiquée à un serveur d’Alibaba. La boutique expliquera qu’il s’agissait d’une gestion de l’usure des touches ! Le troisième risque, l’interception des données par une personne non autorisée.
Comment se protéger
Mot de passe
La majorité des objets connectés sont fournis avec un mot de passe par défaut, un mot de passe « usine », comme « admin:admin » ou encore « 0000 » qu’il faut impérativement le changer. Les pirates profitent de la négligence de certains utilisateurs qui ne lisent pas le mode d’emploi de leur appareil et ne changent pas le mot de passe usine, ou ne pensent pas à l’activer. Pour cela, allez dans l’onglet administration de votre caméra, et enregistrez-y votre propre mot de passe.
Mise à jour
Un inconvénient des appareils connectés est qu’ils ne se mettent pas toujours à jour automatiquement. Avant de brancher votre objet connecté, assurez-vous qu’il proposé une possibilité de mise à jour. Allez dans l’espace administration pour en connaitre la version et vérifier si des mises à jour sont possibles.
Lors de l’inscription de l’appareil
Ne fournissez pas votre vie dans le formulaire proposé (imposé) par le constructeur. N’oubliez pas que ces données seront ensuite reliées à vie à l’appareil. Il vous est demandé une adresse mail ? Créez une adresse électronique dédiée. Ne fournissez pas votre adresse postale et votre nom de famille. Le problème, cependant, certains constructeurs, vicieux, imposent cette collecte pour garantir le matériel. Bloquez la géolocalisation si cette dernière est proposée. Pour cela, allez dans l’onglet administration de votre caméra, et enregistrez-y votre propre mot de passe.
Contrôlez aussi à savoir si les données collectées peuvent être effacées facilement. Ne couplez pas vos objets connectés à votre téléphone, ordinateur, console de jeux n’importe comment. Toujours via l’espace administration de vos appareils, vérifiez le mot de passe.
Pour connaitre les applications de vos objets connectés un peu trop « parlantes », je vous conseille d’utiliser le logiciel GlassWire. L’outil vous affichera à l’écran les logiciels connectés sur Internet et la masse d’information qu’ils communiquent.
Dernier point, ne couplez pas vos objets connectés aux réseaux sociaux : Facebook, Twitter, … Si vous connectez vos objets connectés, dites-vous que les informations qui vont ensuite transiter entre votre objet et vous, seront aussi lues, analysées et sauvegardées par les réseaux sociaux devenus « partenaires » !