Objets connectés : les fabricants ont jusqu’au 1er août pour se mettre aux normes et protéger leurs utilisateurs

Avec la miniaturisation des équipements et la généralisation des accès à des connexions continues en haut débit, de nombreux objets de la vie de tous les jours sont désormais reliés à Internet. Pour simplement fonctionner mais aussi se mettre à jour, ou pour permettre de se géolocaliser en temps réel.

Or, longtemps les industriels ont donné la priorité aux fonctionnalités techniques et au prix de leurs machines, sans véritablement intégrer les risques numériques pouvant concerner les utilisateurs. En Europe, il a fallu une directive sur les équipements radioélectriques, qui concerne donc les produits émettant et/ou recevant des ondes radio. Cela inclut les communications sans fil, par exemple grâce à l'intégration de modules WiFi ou Bluetooth.

Une échéance européenne qui approche

Après l’octroi d’un délai supplémentaire, c’est le 1^er août 2025 que les fabricants de ces objets connectés doivent appliquer les cahiers des charges en matière de sécurité numérique. Cela concerne donc tous les appareils comme les jeux, les vêtements, les lunettes, les bagues ou les bijoux connectés, mais aussi les babyphones avec caméras embarquées.

Cela porte sur trois dimensions. D’une part, les conditions d’accès de l’objet au réseau : il ne doit pas créer de perturbations ni le saturer lorsqu’il fonctionne. D’autre part, une garantie de la confidentialité et de la préservation des données personnelles des utilisateurs. Enfin, un empêchement des usages frauduleux par des tiers. Cela signifie donc que les fabricants de ces produits doivent revoir leur mode de conception et de production.

Des produits souvent non conformes

L’Institut national de test pour la cybersécurité (NTC), un organisme indépendant basé en Suisse, vient de publier une étude consacrée à la conformité de ces appareils très présents dans le grand public : montres connectées pour enfants, babyphones avec caméra, systèmes d’alarme ou adaptateurs de prises de courant dits intelligents.

Le verdict est clair : la plupart des modèles analysés comportaient des vulnérabilités évidentes. Des mots de passe par défaut non sécurisés, permettant de se connecter facilement à la place du propriétaire. Un chiffrement inexistant ou faible lors de la transmission des données. Des dispositifs de mise à jour des logiciels peu performants.

Il faut évidemment que les industriels accélèrent l’adaptation de leurs chaînes de fabrication par rapport à des exigences qui sont, désormais, connues de longue date. Il revient aussi aux importateurs et aux distributeurs de s’assurer de la conformité des produits qu’ils sont amenés à sélectionner et à commercialiser. Enfin, les consommateurs doivent procéder au changement de mots de passe à la réception de ces outils et veiller à télécharger les mises à jour émanant de l’éditeur.

Une possible interdiction de vente

La directive établit que la non-conformité aux principes de sécurité numérique justifie l’interdiction de commercialisation des produits concernés sur le territoire européen. Reste évidemment à identifier les produits suspects, à procéder à leur contrôle et à recenser leurs modes de distribution. Une tâche rendue plus difficile par le commerce en ligne, où les revendeurs sont disséminés hors de l’Union européenne.

Outre l’impact sur la qualité de la prestation immédiate pour le consommateur, si son appareil était défectueux, il faut considérer les menaces de plus grande ampleur. Il peut s'agir d'atteintes à la vie privée par la captation à distance d’images ou de vidéos prises dans l’intimité. Ce peut être aussi une prise de contrôle de ces équipements à distance, pour conduire des opérations de saturation de service (lorsque les pirates demandent simultanément à un très grand nombre d’objets connectés d’accéder à un même site Internet afin de le rendre inaccessible à ses utilisateurs légitimes).

Ces attaques en déni de service sont utilisées, notamment, pour des campagnes d’extorsion ou pour pénaliser l’activité en ligne d’une entreprise ou d’une institution. Une illustration supplémentaire du caractère interconnecté de nos sociétés numérisées.