L’IoT et ses dangers

Dans notre article précédent, nous avons présenté l’IoT. Je vous invite à le lire avant celui-ci, cela peut être utile. Dans cet article, nous allons aborder une autre facette de l’IoT. Souvent, dans l’esprit commun, l’IoT est perçu comme beau, tout rose et merveilleux, mais il ne l’est que si de bonnes précautions sont mises en place.

Qu’est-ce que l’IoT (Internet of Things) ?

Découvrez l’IoT : objets connectés, usages, enjeux dans le monde industriel et domotique.

Make in LabFlorian

Les risques de cybersécurité

Quand on parle d'IoT, on évoque de nombreuses choses à la fois, comme je l'ai mentionné dans le dernier article. Que ce soit des aspirateurs robots, des systèmes d'alarme, ou tout autre type d'IoT, le risque de cybersécurité n'est absolument pas à prendre à la légère. Dans cette partie, nous allons examiner les différents types de risques cyber.

Les configurations par défaut

Quand on installe, par exemple, des volets connectés, on est tous contents de pouvoir se connecter à une interface web avec le mot de passe par défaut, que ce soit « admin/admin » ou même un mot de passe du type « admin/numéro de série ». On peut se dire, qu'est-ce qu'on risque ? Eh bien, beaucoup plus que ce que l'on pense. Prenons l'exemple d'une entreprise qui utilise des grilles d'ouverture gérées de la même manière que nos volets. Si un intrus parvient à se connecter au réseau avec un mot de passe par défaut, il pourrait ainsi disposer d'un accès physique à votre bâtiment.

C'est pour cela qu'il est important que vous changiez vos mots de passe par défaut. C'est un minimum de sécurité que vous ne devez pas négliger.

Vulnérabilités des appareils connectés

Afin d'être les plus abordables, les appareils IoT sont souvent conçus avec une priorité sur l'accessibilité et la convivialité, plutôt que sur la sécurité. Cela les rend susceptibles à divers types de vulnérabilités :

Failles de sécurité dans le logiciel
De nombreux objets connectés utilisent des systèmes d'exploitation ou des firmwares non mis à jour (par exemple, des noyaux Linux anciens). Les hackers peuvent exploiter ces failles pour accéder à l'appareil, l'infecter ou l'utiliser comme point d'entrée vers d'autres appareils ou réseaux.

Manque de cryptage et d'authentification
Beaucoup d'appareils IoT ne cryptent pas correctement, voire pas du tout, les données qu'ils échangent, ou n'utilisent pas de protocoles d'authentification forts (souvent obsolètes). Cela peut permettre à des tiers non autorisés d'intercepter des informations sensibles ou de prendre le contrôle des dispositifs à distance.

Mises à jour logicielles insuffisantes
De nombreux fabricants négligent la mise à jour régulière de leurs produits, laissant ainsi des portes ouvertes aux attaquants qui peuvent exploiter des vulnérabilités connues et non corrigées. De plus, certains appareils IoT sont conçus pour fonctionner avec des versions logicielles qui ne sont plus supportées.

Absence de contrôle d'accès
De nombreux objets connectés ne mettent pas en place de mécanismes de contrôle d'accès. Il n'y a pas de possibilité de limiter les accès ou les adresses IP, ce qui les rend encore plus vulnérables.

Quand l'IoT est détourné

En 2016, l'attaque Mirai a marqué un tournant majeur dans l'exploitation malveillante des objets connectés. Cette attaque a utilisé des centaines de milliers d'objets IoT, certains rapports évoquent même jusqu'à 600k objet connectés, en tant que "zombies" pour mener des attaques par déni de service, également appelées DDoS (Distributed Denial of Service).

L'objectif d'une attaque par déni de service est de saturer un service, un serveur ou une page web en envoyant un volume de requêtes bien supérieur à ce qu'il peut supporter. En d'autres termes, il s'agit de simuler d'énormes pics de trafic sur un site ou un service, afin de le faire planter ou, à défaut, de le ralentir suffisamment pour rendre son utilisation extrêmement pénible.

Le réseau de zombies mis en place lors de l'attaque Mirai a ainsi orchestré plus de 15 000 attaques distinctes, affectant plusieurs sites majeurs comme Dyn, un fournisseur de services DNS, perturbant l'accès à des plateformes comme Twitter, Spotify, Reddit, et bien d'autres. Cette attaque a mis en évidence la vulnérabilité des objets IoT, souvent mal sécurisés, et leur potentiel d'être utilisés à des fins malveillantes.

Bien que cette attaque date de 2016, il est important de ne pas oublier cet attaque, surtout à l'heure où le nombre d'objets IoT ne cesse d'augmenter. En 2026, il y a déjà plusieurs milliards d'appareils connectés dans le monde. Cette croissance continue amplifie les risques liés à la sécurité des objets connectés et leur exploitation malveillante, rendant plus que jamais cruciale la mise en place de mesures de sécurité adaptées.

Les dangers pour la vie privée et la collecte de données

Au-delà des risques purement techniques, l’IoT pose une question centrale, celle de notre vie privée. Une montre connectée, une caméra, un assistant vocal ou encore un thermostat intelligent peuvent sembler anodins pris séparément. Pourtant, mis bout à bout, ces appareils sont capables de dresser un portrait très précis de notre quotidien.

Heures de présence dans un logement, habitudes de sommeil, fréquence des absences, consommation électrique, déplacements, commandes vocales, images enregistrées, toutes ces informations ont une valeur. Elles peuvent servir à améliorer un service, mais aussi à profiler les utilisateurs de manière très poussée.

Le problème n’est pas uniquement la collecte des données. Il y a aussi la question de leur stockage, de leur durée de conservation et de leur partage éventuel avec des prestataires tiers. Beaucoup d’utilisateurs, malheureusement sans même prendre le temps de les lires, acceptent des conditions d’utilisation sans même savoir quelles données sont collectées ni comment elles seront utilisées.

Dans un cadre domestique, cela peut déjà être très intrusif. Mais dans un cadre professionnel, les conséquences peuvent être encore plus importantes. Des capteurs industriels, des caméras intelligentes ou des badges connectés peuvent, en cas de mauvaise gestion, exposer des données sensibles sur une entreprise, ses employés ou ses infrastructures.

Quand le confort devient une porte d’entrée

L’un des grands arguments de l’IoT est le confort : automatiser, surveiller, contrôler à distance. Mais plus un système est connecté, plus il multiplie les points d’entrée possibles pour un attaquant.

Prenons un exemple simple vous avez : une caméra connectée installée pour sécuriser une maison. Si elle est mal configurée, elle peut produire l’effet inverse de celui recherché. Au lieu de protéger le foyer, elle peut permettre à une personne malveillante d’observer les habitudes des occupants, de savoir quand ils sont absents, voire d’accéder à d’autres équipements présents sur le même réseau.

Ce principe vaut pour beaucoup d’objets connectés. Un appareil peu coûteux, mal maintenu ou configuré à la va-vite peut devenir le maillon faible de tout un écosystème.

Comment réduire les risques

Heureusement, il est possible de limiter les dangers liés à l’IoT en appliquant quelques bonnes pratiques simples.

La base, changer immédiatement les identifiants par défaut

C’est la première chose à faire lors de l’installation d’un appareil. Un mot de passe unique, long et difficile à deviner est indispensable. Conserver les identifiants d’usine revient souvent à laisser une porte ouverte.

Vous pouvez utiliser Minp :

Minp - Générateur de mots de passe

Minp est un générateur de mots de passe en ligne gratuit. Créez des mots de passe sécurisés et personnalisés pour protéger vos comptes.

Logo de Minp Générateur de Mots de Passe

Mettre à jour régulièrement les appareils

Les mises à jour corrigent souvent des vulnérabilités déjà connues. Reporter ces mises à jour, c’est laisser les failles ouvertes plus longtemps. Lorsqu’un appareil n’est plus maintenu par son fabricant, il faut sérieusement envisager son remplacement. Un appareil qui n’est plus maintenu finit forcément par présenter des failles exploitables par des pirates, un peu comme Windows 10, qui n’est plus maintenu.

Séparer les objets connectés du reste du réseau

Dans l’idéal, les objets IoT ne devraient pas être placés sur le même réseau que les ordinateurs principaux ou les serveurs sensibles. Segmenter le réseau permet de limiter la propagation d’une compromission. Dans les cas concrets, en dehors du milieu professionnel, sans switchs, routeurs et pare-feu, il est par exemple impossible de créer un VLAN IoT. C’est pourquoi les autres points sont obligatoires.

Désactiver les fonctions inutiles

Si un service à distance, un micro, une caméra ou une option cloud n’est pas nécessaire, mieux vaut le désactiver. Réduire la surface d’exposition est une mesure simple mais efficace.

Choisir des fabricants sérieux

Tous les appareils connectés ne se valent pas. Avant un achat, il est utile de se renseigner sur la fréquence des mises à jour, la politique de sécurité du constructeur et la transparence sur la gestion des données.

Lire les autorisations et paramètres de confidentialité

C’est souvent négligé, mais essentiel. Savoir quelles données sont envoyées, à quelle fréquence et dans quel but permet de faire des choix plus éclairés.

Pour conclure

L’IoT n’est pas mauvais en soi. Bien utilisé, il apporte de vrais avantages dans la maison, l’industrie, la santé ou la gestion énergétique. Le problème apparaît lorsque la facilité d’usage passe avant la sécurité.

Un objet connecté ne doit jamais être considéré comme un simple gadget sans conséquence. Dès lors qu’il communique sur un réseau, collecte des données ou pilote une fonction importante, il devient un élément à sécuriser comme n’importe quel système informatique.

En réalité, la question n’est pas de savoir s’il faut ou non utiliser l’IoT, mais plutôt comment l’utiliser intelligemment. Plus les objets connectés se multiplient, plus il devient nécessaire d’adopter une culture de cybersécurité, même dans les usages du quotidien.

L’IoT fait désormais partie de notre environnement. Il simplifie de nombreuses tâches, automatise des actions et apporte de nouveaux services. Mais derrière cette promesse de confort se cachent aussi des risques bien réels : intrusion, fuite de données, compromission d’appareils, ou encore détournement à grande échelle, comme l’a illustré l’exemple de Mirai évoqué dans notre premier article.

La meilleure défense reste la vigilance, bien configurer ses appareils, les maintenir à jour, limiter les accès et garder à l’esprit qu’un objet connecté est avant tout un appareil informatique exposé.

Pour nous aider à nous améliorer, n'hésitez pas à faire part de vos avis en commentaires ou même à poser vos questions si vous avez besoin d'aide supplémentaire.

Vous pouvez également partager cet article et nous suivre sur Twitter/X :

x.com

X (formerly Twitter)

ainsi que sur Instagram :

Makeinlab (@ma.in.lab) • Instagram photos and videos

20 Followers, 5 Following, 79 Posts - See Instagram photos and videos from Makeinlab (@ma.in.lab)

Instagram