Votre aspirateur est-il un espion ? Quand les objets connectés deviennent des mouchards
C’était une journée classique pour l’avocat américain Daniel Swenson, jusqu’à ce que son aspirateur semble prendre vie. Alors qu’il regarde paisiblement la télé, révèle le média australien ABC, son robot Ecovacs se met à produire d’étranges bruits, similaires aux grésillements d’une radio. En examinant la machine, l’Américain s’aperçoit que le problème est plus grave qu’il n’y paraît. Quelqu’un est en train d’accéder au flux vidéo en direct de son aspirateur et aux fonctions de contrôle à distance. Il pense régler le problème en changeant son mot de passe et en redémarrant le robot. Mais peu de temps après, l’aspirateur se remet à bouger et commence à diffuser des insultes racistes via ses haut-parleurs.
Sous le choc, Daniel Swenson raconte à ABC avoir totalement désactivé son aspirateur, avant de le remiser au garage, où il est encore aujourd’hui. Il n’est pas le seul à avoir vécu pareille mésaventure. Plusieurs autres propriétaires de robots Ecovacs aux Etats-Unis ont rapporté des faits similaires. La machine de l’un aurait pourchassé son chien. Celle de l’autre aurait insulté le propriétaire.
Ces incidents spectaculaires ont fait couler beaucoup d’encre en octobre, mais ce n’est pas la première fois que des objets connectés sèment la zizanie. En juin 2019, un robot de cuisine vendu par Lidl avait créé la polémique lorsqu’un micro avait été découvert dans ses rouages. Un composant inactif mais que des utilisateurs à l’aise en informatique avaient réussi à faire fonctionner et dont la présence n’était pas précisée par le constructeur. En décembre 2022, la MIT Technology Review révélait que des photos de personnes utilisant des versions expérimentales d’aspirateurs Roomba avaient été diffusées sur des groupes Facebook privés. Comme l’a rappelé le constructeur à l’époque, il ne s’agissait pas de versions commerciales. Et les personnes avaient accepté, contre rémunération, de laisser les images filmées par ces versions tests être envoyées à des prestataires spécialisées dans la labellisation d’image - un exercice qui contribue à améliorer leur analyse automatisée. Mais la présence de certains clichés intimes, notamment d’une femme aux toilettes, rappelle à quelle vitesse notre vigilance peut se relâcher vis-à-vis de ces objets familiers.
On dénombre aujourd’hui plus de 17 milliards d’objets connectés dans le monde et leur nombre devrait grimper à 30 milliards d’ici 2030. Alors que de plus en plus de ces appareils pénètrent nos foyers, que ce soit sous la forme de cafetières ou de frigos connectés, les risques de cyberespionnage qu’ils présentent restent méconnus du grand public.
Les risques cyber sous-estimés
Dans l’affaire qui concerne Ecovacs, l’entreprise assure dans un communiqué transmis à ABC News que l’erreur n’est pas de leur fait. Le constructeur affirme n’avoir subi aucun hack ni fuite de données. Le problème serait lié au fait que l’avocat - comme les autres victimes - aurait utilisé les mêmes identifiants et mots de passe sur un autre site qui aurait, lui, subi une fuite de données. Ces précieux sésames auraient alors permis à un hacker de se connecter à l’aspirateur et d’en prendre le contrôle. Contacté par L’Express, Ecovacs n’a pas donné suite à nos questions. Si la manière dont la prise de contrôle s’est déroulée reste floue, tout comme les filtres de sécurité fournis par Ecovacs, l’affaire rappelle à quel point la protection de ces appareils demeure difficile.
"Avec les objets connectés, la surface d’attaque s’étend. Il y a donc plus de risques pour les systèmes informatiques", explique Eric Antibi, directeur France de l’entreprise spécialisée dans la cybersécurité Palo Alto Networks. C’est lié à la nature même de ces objets : ils sont connectés au Wi-Fi ainsi qu’à des serveurs, et fonctionnent généralement avec des applications. Autant de portes d’entrées possibles pour des attaquants. Or, "quand on achète un écran, une cafetière ou un aspirateur connecté, personne ne s’occupe de l’aspect cyber. Personne ne pense à demander s’ils sont bien protégés, ou quelle est la version de l’OS pour les patchs de sécurité", reprend Eric Antibi. Ces risques sont gravement sous-estimés par les propriétaires.
Car il est tout à fait possible de hacker ces appareils et d’en prendre le contrôle. Des pirates peuvent exploiter des failles humaines : lorsque l’utilisateur n’a pas mis de mot de passe pour se connecter à l’application associée à son objet, par exemple. Mais il est aussi possible de détourner certaines fonctionnalités des appareils. Quelques mois avant l’incident vécu par Daniel Swenson, des chercheurs en cybersécurité avaient ainsi réussi à prendre le contrôle d’un aspirateur Ecovacs en détournant sa connexion Bluetooth. Des attaquants peuvent également s’infiltrer sur les serveurs d’un objet si ces derniers sont mal sécurisés.
L’effet domino peut être redoutable. "Prendre le contrôle d’un frigo connecté permet de l’utiliser comme point pivot pour attaquer d’autres éléments du domicile", met en garde Pierre Delcher, directeur de l’équipe de recherche en cybersécurité chez HarfangLab. Une fois dans le système, des pirates peuvent mener des attaques d’ampleur. "Les ordinateurs sont généralement protégés contre les attaques externes, mais sont sensibles aux attaques internes", précise l’expert.
Les risques cyber ne sont, hélas, pas toujours au cœur des priorités lors de la conception des objets connectés. "La sécurité est un coût supplémentaire pour les entreprises. En général, moins les produits sont chers, moins ils sont protégés", confie Tiphaine Romand-Latapie, experte en cybersécurité chez Synacktiv. Dans le cas d’Ecovacs, les pirates semblent ne pas avoir ciblé d’utilisateurs précis. Mais leur mode opératoire n’est pas toujours aussi aléatoire. Eric Antibi rapporte ainsi le cas d’un salarié d’une entreprise sensible visé par une attaque passant par un objet connecté, afin de pénétrer l’ordinateur professionnel. "Les tentatives de ce type sont en hausse", prévient-il, particulièrement depuis la généralisation du télétravail.
Les données personnelles, un enjeu de taille
La collecte de données menée par ces objets connectés soulève d’autres questions. Une récente étude de Surfshark illustre l’étendue de la pratique chez les fabricants d’électroménager intelligent. Certaines marques de frigo récupèrent des données audio. Des cafetières ont accès aux photos, aux vidéos et à l’adresse de leurs propriétaires à travers une application. Des interrupteurs connectés captent la localisation et l’historique d’achat. Un partage de données qui permet d’offrir au client une expérience, font valoir les fabricants. Et "l’utilisateur a le choix de nous partager ces données", souligne Clément Monjou, chargé du développement des enceintes Alexa chez Amazon France. L’entreprise précise d’ailleurs ne pas utiliser les données collectées à des fins commerciales, mais seulement à des fins de personnalisation. Même chose du côté de Google, qui met en avant les services offerts à ses clients.
"Certains fabricants collectent toutefois des données dont ils n’ont pas forcément besoin pour fonctionner, mais qui sont après réutilisées à des fins marketings", estime Tiphaine Romand-Latapie. La Cnil, contactée à ce sujet par L’Express, rappelle que les sociétés fabriquant ou commercialisant ces objets dans l’Union européenne, y compris les entreprises étrangères, doivent "respecter la réglementation relative à la protection des données à caractère personnel", le fameux RGPD. Les fabricants sont tenus d’être transparents sur l’utilisation des données, et de recueillir le consentement des consommateurs.
Pour assurer la sécurité des informations collectées, Google indique à L’Express que "certains appareils et services Google Nest, tels que Google Nest Hub Max, enregistrent et traitent une partie des données en local sur l’appareil, et non sur les serveurs Google", minimisant ainsi les risques de fuites. Amazon assure également "prendre la sécurité très au sérieux", et utiliser des protocoles de sécurité rigoureux. Il n’empêche que dans le secteur, des failles subsistent parfois. Notamment chez certains constructeurs plus petits qui n’ont pas toujours les moyens de s’assurer de la robustesse de leur système informatique. Les appareils de générations précédentes, toujours en activité, peuvent également être plus vulnérables aux attaques.
Les fuites de données peuvent être lourdes de conséquences, en particulier lorsqu’un appareil capte "les détails financiers, les dossiers médicaux, la consommation d’énergie, les habitudes et la localisation des individus"", pointe Raminta Bučiūtė, spécialiste des données personnelles chez Surfshark. Les informations volées sont ensuite mises en vente sur des forums pour hackeurs. Ces détails peuvent être utilisés pour faire de l’usurpation d’identité, réaliser des phishings, ou faire du chantage. "Les constructeurs introduisent tout un tas de capteurs qui ne sont pas toujours intéressants pour un consommateur, résume Pierre Delcher d’HarfangLab. La vraie question est : pourquoi mettre un micro dans un aspirateur ? C’est de l’espionnage."