Sécurité des objets connectés : l’Europe passe à l’action

Ces appareils aux apparences anodines sont de plus en plus utilisés et installés chez les particuliers. Problème, en étant connectés, ils récupèrent des données plus ou moins sensibles sur notre vie privée, qui sont ensuite stockées sur des serveurs.

Comme de nombreux produits sont fabriqués par des industriels chinois et/ou commercialisés par des marques américaines, on peut légitimement se poser la question de l’usage qui est fait de cette masse d’informations.

Même si le RGPD renforce la protection des données personnelles de tous les citoyens européens depuis 5 ans, différentes affaires ont fait la une des médias à propos d’une exploitation exagérée ou d’un niveau de sécurité trop faible de ces données.

En 2019, les données de 2,4 millions d’utilisateurs de Wyze, un fabricant d’appareils de sécurité, avaient fuité. La même année, la CNIL mettait déjà en garde contre des appareils qui commençaient à être de plus en plus présents dans nos cuisines, les robots.

Pour renforcer la protection des données personnelles, les négociateurs du Parlement et du Conseil ont annoncé un accord provisoire sur la proposition de législation relative aux exigences de cybersécurité pour les produits comportant des éléments numériques.

Des données qui partent dans le cloud

Selon la loi sur la cyberrésilience ou Cyber ACT (Cyber Resilience Act), les appareils connectés devront bénéficier d’un niveau de cybersécurité de base lorsqu’ils seront vendus dans l’UE. Le texte adopté à titre provisoire maintient l’orientation générale de la proposition de la Commission, notamment en ce qui concerne les points suivants :

• des règles visant à rééquilibrer la responsabilité de la conformité vers les fabricants, qui doivent remplir certaines obligations telles que fournir des évaluations des risques de cybersécurité, délivrer des déclarations de conformité et coopérer avec les autorités compétentes ;
• les processus de traitement des vulnérabilités pour les fabricants afin de garantir la cybersécurité des produits numériques, et les obligations des opérateurs économiques, tels que les importateurs ou les distributeurs, en ce qui concerne ces processus ;
• des mesures visant à améliorer la transparence sur la sécurité des produits matériels et logiciels pour les consommateurs et les utilisateurs professionnels ;
• un cadre de surveillance du marché pour faire respecter les règles.

Mais la cybersécurité de ces produits ne sera pas si simple à instaurer. Pour l’instant, la majorité d’entre eux présente un très faible niveau de cybersécurité, ce qui se traduit par des vulnérabilités généralisées.

Dans certaines conditions, ces appareils connectés peuvent servir de vecteur d’attaque pour les acteurs malveillants. Sous couvert d’anonymat, un hacker nous a expliqué qu’il est en effet très facile d’accéder à des caméras de surveillance installées chez des particuliers.

« Dans la plupart des cas, les mots de passe par défaut des marques ne sont pas changés. En scannant des adresses IP de ces appareils, je trouve facilement le moyen de regarder le salon de particuliers… Il suffit que je connaisse la référence de la caméra pour ensuite trouver sur internet le mot de passe généré en usine ».

Autre risque, la récupération de données personnelles à votre insu. En novembre 2022, l’expert britannique en sécurité Paul Moore a publié une vidéo dans laquelle il accuse le fabricant Eufy d’envoyer des données au cloud, même si cette option est désactivée.

Pour renforcer le niveau de sécurité et s’assurer de la transparence des fabricants, des travaux vont se poursuivre au niveau technique dans les semaines à venir, afin de finaliser les détails du nouveau règlement.