Les objets connectés doivent-ils vraiment recueillir autant de données personnelles pour fonctionner correctement ?
Télévision, pèse-personne, thermostat et autres hubs domotiques... les objets connectés tentent d'envahir nos maisons et de s'infiltrer au coeur même de leur réseau numérique. Pourtant, malgré leur objectif de nous simpliflier la vie, leur développement semble encore assez poussif ; en raison sans doute de leur manque criant de sécurité. C'est ce que révèle une étude menée par la division Sécurité de Hewlett Packard : rien de moins que 250 vulnérabilités ont été relevées par les experts d'HP Fortify au sein des 10 objets connectés les plus populaires.
Ces failles de sécurité seraient, selon Mike Amistead, le manager général d'HP Fortify, le symptome de la ruée des entreprises sur le créneau des objets connectés. Il estime en effet que les start-ups se lançant sur ce marché tenteraient de commercialiser leur produit le plus rapidement possible avant la concurrence... au mépris de la garantie d'un niveau de sécurité suffisant des réseaux et des données personnelles.
Vos données personnelles en clair sur la toile
Parmi les failles de sécurité relevées, HP a constaté que :
- 90 % des objets connectés étudiés solliciteraient une information personnelle sensible (ex : adresse email ou postale, nom, date de naissance, etc) ; une information ensuite véhiculée en clair sur la toile ;
- 70 % des objets connectés ne crypteraient pas les données échangées avec le réseau ;
- 80 % des objets connectés ne nécessiteraient pas de mot de passe complexe pour identifier les demandes de connexion tierces ;
- 60 % des objets connectés seraient vulnérables aux attaques dites de "cross-site scripting" (type de faille de sécurité permettant d'injecter du contenu dans une page, et provoquant ainsi des actions sur les navigateurs web visitant la page).