Des chercheurs de l'université du Kent au Royaume-Uni ont sondé 553 parents britanniques et ont interrogé 25 familles sur leurs perceptions des risques de cybersécurité des objets connectés. Résultat : une connaissance limitée des menaces liées à l'utilisation de ces appareils à la maison et le constat d'un manque d'éducation des enfants à propos de l'IoT et de la cybersécurité.
Quatre chercheurs et chercheuses de l'Institut de cybersécurité pour la société (Institute of Cyber Security for Society, iCSS) de l'Université du Kent au Royaume-Uni ont voulu savoir quel était le niveau d'intérêt des familles britanniques pour la cybersécurité des objets connectés qu'elles possèdent chez elles. Leur article [PDF] publié dans la revue scientifique Proceedings of the ACM on Human-Computer Interaction conclut qu'elles ont « une connaissance limitée des menaces et des risques liés à l'utilisation d'appareils IoT [Internet of Things, Internet des objets, ndlr] à domicile », les familles se contentant de connaissances plus générales sur les risques liés à l'utilisation des ordinateurs.
- France Stratégie et les enjeux « massifs, et massivement sous-estimés » de sécurité de l’IoT
- Les objets connectés et la cybersécurité : Inria oscille entre utopie et dystopie
L'idée de ces chercheurs était de se poser deux questions :
- comment les familles gèrent-elles la cybersécurité liée à l'utilisation de leurs objets connectés domestiques ;
- comment et quand les familles s'informent-elles sur la sécurité de ces dispositifs ?
Pour y répondre, ils ont sondé 553 parents britanniques puis interrogé plus profondément 25 familles sur leur relation à ces objets du quotidien qui peuplent de plus en plus les maisons.
Plus concernés par le coût de remplacement que par la sécurité des données
Un des principaux problèmes de sécurité quand on parle des objets connectés, c'est le devenir des informations collectées une fois qu'on n'utilise plus l'appareil et qu'on le revend, qu'on le jette ou qu'on le recycle. Or, les chercheurs expliquent que « la principale préoccupation des participants au sondage en cas de casse de l'appareil concerne le coût de remplacement, et non les implications pour la sécurité des données ». Plus précisément, pour 67 % des appareils, leurs propriétaires étaient préoccupés par leur remplacement, mais la question de l'inaccessibilité des données ne se posait que pour 13 % d'entre eux et que la possibilité de les effacer n'était soulevée pratiquement par aucun des propriétaires (0,2%).
Lors de leurs entretiens avec les familles, aucun participant adulte n'a évoqué de menaces potentielles pour le domicile provenant des objets connectés, que ce soit en termes de facilitation des cambriolages ou d'autres dommages physiques. À l'inverse, deux couples de parents ont expliqué comment leur système de surveillance domestique connecté avait permis d'aider à l'arrestation d'un cambrioleur dans leur quartier et de se sentir plus en sécurité après des événements passés autour de la maison.
Les chercheurs expliquent que « les enfants semblaient être plus conscients des dommages physiques pouvant être causés par les appareils ». Deux enfants interrogés considéraient ces risques comme plus urgents que les risques pour les données personnelles : « Il y a beaucoup de choses branchées en bas - elles pourraient mettre le feu ! » leur a répondu l'un. Un autre : « Je pense que la chose la plus dangereuse est de mettre de l'eau à l'intérieur... c'est la seule chose qui soit dangereuse ». Selon les chercheurs, « ces préoccupations n'étaient pas partagées par leurs parents ».
Une information insuffisamment efficace
Sur l'information des utilisateurs sur les risques cyber des objets connectés qu'ils ont achetés, « la majorité des participants n'ont pas pu fournir de détails significatifs sur les exigences en matière de cybersécurité, que ce soit au moment de l'installation ou pendant la durée de vie de l'appareil » même si 60 % d'entre eux ont répondu qu'ils avaient reçu des instructions détaillées sur la façon de configurer leur appareil.
La majorité des utilisateurs interrogés ne se souvenaient pas d'une configuration impliquant un changement de mot de passe. Finalement, 55 % ne nécessitaient pas de changement de mot de passe, et les répondants ne s'en souvenaient pas pour 22 % qui le nécessitaient. Pour une grande partie des appareils (77%), leurs utilisateurs ne savent pas comment supprimer les données personnelles qu'ils contiennent.
Dans les entretiens menés dans les familles, les chercheurs ont constaté que « plusieurs adultes interrogés ont exprimé leur incapacité à comprendre ce qui est nécessaire pour sécuriser le foyer et agissent, en conséquence, en s'appuyant sur les autres adultes du foyer ».
Une des personnes interrogées va dans ce sens en expliquant : « [l'utilisation d'un logiciel anti-malware] était un peu ce qu'on nous a inculqué quand nous étions plus jeunes et quand nous avons eu nos premiers ordinateurs, mais avec tous les autres objets connectés, on s'imagine que c'est... là-dedans, je suppose. »
Très peu d'accompagnement à leur utilisation par des enfants
Pour près de 80 % des objets connectés, les parents interrogés par les chercheurs ont répondu qu'ils ne ressentaient pas le besoin d'aider leurs enfants à utiliser les objets connectés qui se trouvaient dans leur maison. Pour 9 %, les instructions se concentraient sur d'éventuelles blessures physiques ou sur le dysfonctionnement potentiel du service fourni par l'appareil.
Les parents interrogés estiment qu'ils n'ont aucune inquiétude à avoir quant à l'utilisation des appareils par leurs enfants pour 64 % des appareils étudiés, et leurs enfants ont déclaré utiliser 77 % des appareils par eux-mêmes, avec très peu de problèmes signalés.
Les chercheurs ont aussi demandé, dans leur sondage, comment les risques de cybersécurité étaient discutés à l'école et à la maison. Les parents ont cité pour la plupart le thème du cyberharcèlement (74 %), celui du danger des personnes inconnues (71 %) et des contenus en ligne dangereux (70 %). Mais beaucoup moins ont évoqué ce que les chercheurs qualifient de thèmes plus traditionnels de cybersécurité que sont l'utilisation de mots de passe forts et uniques (35 %) ou les logiciels malveillants (19 %). 15 % des parents interrogés ont avoué ne pas savoir ce que leurs enfants apprenaient à l'école.
S'il n'est pas possible d'extrapoler vraiment tous ces résultats à la population française ou européenne puisque nous avons des différences culturelles avec le Royaume-Uni, cette étude donne quand même quelques indications sur le degré d'information des foyers occidentaux sur les risques de cybersécurité des objets connectés.
Les auteurs de cette recherche espèrent pouvoir élargir leur champ géographique de recherche pour observer ce qui diffère dans d'autres juridictions et d'autres régions du monde.
Commentaires (28)
#1
Si déjà, on pouvait placer dans des réseaux séparés les uns des autres… ça limiterait l’exposition. Je crois que l’IPv6 le permet, mais dans la pratique peu de FAI donne assez pour permettre des réseaux séparés.
Après au niveau des données personnelles, peu d’objets connectés permettent un effacement avec retour aux paramètres d’usine.
#1.1
Après, ça dépend quel appareil connecté.
Mes lampes Hue ou mes capteurs Eve, je penses pas qu’ils aient d’IP, contrairement au pont, à mon Homepod Mini, ou à ma station Netatmo.
#2
Assez simple à voir. Il suffit de se connecter à la box et de voir quels sont les périphériques rattachés. On peut parfois avoir des surprises !
#2.1
Déjà check, je suis safe
#3
Personnellement mes objets connectés sont sur le réseau invité .
#4
Le problème de base selon moi est le discours que tiennent trop de vendeurs à commencer par Microsoft avec leur page bleue “Ne vous inquiétez pas, on s’occupe de tout”.
Rien n’est facile à utiliser, à commencer par tout objet connecté de la montre à l’ordinateur.
Pour autant, il faut une part d’abstraction pour éviter de complexifier plus que de raison.
Alors, il faudrait selon moi commencer par interdire les trucs qui noient l’utilisateur avec un beau rideau de fumée en lui faisant croire que c’est simple.
Deuxièmement, après avoir rendu lisible les conditions d’utilisation pour les rendre compréhensible au niveau brevet des collèges (le DNB maintenant), il faut s’attaquer aux interfaces utilisateur et proposer des interface également accessibles expliquant les tenants et aboutissants de chaque choix de configuration dans un language compréhensible par une large population.
Enfin, c’est comme pour la conduite, il faut une formation minimum. L’éducation nationale a crėé PIX pour évaluer le niveau mais j’aimerais un standard plus européen voir mondial pour le socle de connaissance minimum.
Vu les enjeux sur la vie privée des utilisateurs et particulièrement celle de nos enfants, il faudra peut-être en arriver à imposer un permis.
#5
C’est vrai que c’est affolant tous ces produits où il faut aller créer un compte chez le fabricant pour avoir le droit de les utiliser, plus aucune autonomie ni résilience indépendante.
On achète un produit, mais on n’a droit qu’à une licence d’utilisation.
ça n’est pas normal de laisser tout se gérer de cette façon, effectivement une généralisation de IPV6 pourrait permettre un accès à distance, via parefeu avec upnp ou équivalent plus sécurisé, aussi bien qu’un site centralisateur.
Les sauvegardes de configuration devraient être systématiques et automatiques en local, pas quelque part dans le cloud, chaque FAI devrait proposer un espace de stockage destiné à ça sur le réseau local, via un boitier externe à la box.
#6
Honnêtement, je pense que l’étude donnerait quasiment les mêmes conclusions dans les autres pays européens (voire même tous les pays).
La Grande-Bretagne n’est pas devenue tout à coup différentes des autres pays européens car elle a quitté l’Union Européenne (Brexit).
#7
A mon sens le problème principal vient du fait que c’est tellement pratique pour l’entreprise de faire croire que “c’est simple”, qu’ils n’ont aucune raison de faire autrement. C’est tout bénef pour eux (on fait tout ce qu’on veut une fois la porte ouverte, l’utilisateur n’a qu’une case à cocher, et de toute façon s’il ne la coche pas il ne peut pas utiliser le produit qu’il vient d’acheter bien cher).
En face l’utilisateur “croit” donc qu’en effet c’est simple, et qu’il n’a donc aucun apprentissage à faire.
Regardez les gens autour de vous qui ne se posent même plus la question d’où sont les données de leur smartphone, et sont plutôt étonnés si jamais quand ils en changent leurs données ne sont pas automatiquement disponibles sur le nouveau téléphone.
Aucun besoin d’apprentissage, de formation, avec pourtant entre les mains des outils extrêmement complexes.
OK, on peut conduire une voiture sans être mécanicien ou ingénieur en automobile… mais on a une formation théorique d’un bon gros paquet d’heures, plus de la pratique durant une trentaine d’heures.
En face on met dans nos maisons, dans les mains de nos gamins ,des outils qui peuvent nous exposer de manière toute aussi grave qu’un accident de voiture (oups la vidéo qui fuite de la caméra du salon qui montre papa dans maman les fesses à l’air sur le canapé, ou la faille qui permet d’accéder à l’intégralité des données de l’ordi et partir pour des heures d’amusement à se dépêtrer d’une usurpation d’identité)… et ce ne sont que quelques exemples.
Mais comme tout le monde s’en fout car tout est “simple” et automatique, que 99% du temps ça se passe bien, ben on courbe l’échine sagement, et on fait “ah c’est pas de bol” aux 1% qui se prennent le problème dans la tronche, en espérant secrètement que ça ne nous arrivera pas et en traitant ceux qui se préoccupent ne serait-ce qu’un peu du sujet de “paranos” ou du - très à la mode depuis le covid - “complotiste”, afin d’enfouir d’un revers de la main toutes les inquiétudes…
#8
Perso je fais la différence entre 2 types de menace:
Et autant il est techniquement possible de se protéger du 1 (fw, chiffrement, vlan…), autant il devient quasiment impossible de se protéger du 2.
J’ai de plus en plus de mal à trouver des objets connectés qui ne requièrent pas une liaison avec un serveur/cloud de l’entreprise. Même des trucs “open” comme Jeedom requièrent la création d’un compte pour les plugins et le support. :/
#8.1
Tu as Shelly :) @David en avait parlé il y a quelque temps…
Utilisable sans compte du moment que tu gères ta domotique toi même et le seul lien avec l’entreprise est la vérification des mises à jours.
#9
Oui, il reste quelques constructeurs qui font des objets autonomes.
Pour le coup, les objets Shelly sont complètement autonomes: pas de hub.
#10
On ne le dira jamais assez souvent, le S de IoT veut dire “Secure”.
#10.1
#10.2
hélas , il n’y a pas que les objets connectés qui sont concernés, de plus en plus les équipements réseau tombent dans ce système, avec les SDN et compagnie.
il va falloir calmer la virtualisation à un moment, avant que tout ce que nous utilisons ne soit qu’une licence d’usage.
Autant ça peut se justifier pour des équipements relativement chers et gourmands en énergie, plus aptes à être sécurisés aussi, autant ça n’a pas de sens pour des babioles, sauf la facilité d’installation bien sûr.
#11
Entièrement d’accord. ET pour le dernier point, va voir Home Assistant. Si on veut (même s’il faut faire gaffe au choix des équipements) c’est du 100% local sans compte.
#12
IPv6 permet de la délégation à un routeur, mais pas grand monde ne va s’amuser à créer 2 SSID, et encore quand c’est possible…
Si tu cloisonnes, la configuration devient beaucoup plus dur car en général ça repose de la découverte en multicast type mDNS, il faut alors un proxy ND et mDNS,…
Par exemple utiliser une imprimante ou une chromecast dans un autre VLAN est un calvaire (obligé de tout faire à la main)
Enfin, aujourd’hui encore, tout les FAI ne proposent pas de pare feu IPv6 propre par défaut, par exemple free qui ne permet pas de faire d’ACL.
La joignabilité directe offerte par IPv6 semble être une des cause du retard d’implémentation d’IPv6 sur les IoT par peur des fabricants de faciliter l’exploitation des failles.
#12.1
Pour ipv6, il faudrait que les FAI soient contraints de proposer un dns dynamique pour chaque accès internet avec inscription automatique des machines connectées, si l’utilisateur souhaite les rendre visibles, un parefeu upnp également en complément.
Plein de protocoles à développer.
Après, une interface ipv6 peut être connectée à plusieurs réseaux simultanément, par exemple un à portée locale et l’autre à portée mondiale.
#12.2
à minima un package capable de maintenir des entrées DNS AAAA pour chaque hôte en effet.
Aujourd’hui peu de services DNS dynamiques supportent IPv6, par exemple duck dns. OVH qui parle depuis 1 an de faire payer IPv4 est toujours incapable d’avancer sur le déploiement d’IPv6 sur son propre dynamic host.
Et avant même que l’on s’occupe du DNS public, il faut que les box des FAI puissent traquer les IP des hôtes et mettre à jour les ACL firewall, et ça on en est encore loin. Par ailleurs ce même tracking ne tomberait pas forcément sur la bonne adresse, une temporaire ? la stable ?
Mais tout ces points sont très intéressants et sont à prendre en compte pour aider au déploiement dans les petits business / SOHO
#12.3
Les adresses temporaires sont surtout utilisées pour les connexions sortantes, on peut avoir une ou des adresses fixes pour les connexions entrantes sur des services où on écoute et des adresses variables quand on se connecte en sortant.
Après, avec un vrai dns dynamique efficace on peut changer les adresses en écoute aussi tous les x jours ou heures, ça n’empêche pas les attaques via le nom, mais bon, ça limite sur les scans de plages.
Tout ça c’est un vrai système à développer, c’est clair.
#12.4
Oui, d’ailleurs même l’adresse stable n’est plus une obligation, on peut faire tourner un OS uniquement avec des adresses temporaires.
Le truc c’est qu’il faut s’assurer que l’enregistrement DNS correspond à l’adresse stable de l’hôte, ce que le routeur ne peut pas faire en SLAAC avec tracking NDP.
L’agent DNS dynamique doit résider sur l’hôte si l’hôte a plusieurs adresses. Et ça en dehors d’un vrai OS ou du package d’un NAS, c’est compliqué.
#13
Bref que des trucs qui font fuiter automatiquement des informations sur ton réseau personnel.
C’est le problème avec la sécurité:
Microsoft est dans cette spirale depuis des années avec ses services réseaux. Les sites internet commencent a faire de même avec leurs mécanismes d’authentification. Et la domotique prend le même chemin…
#13.1
Tout à fait,
c’est bien le cœur du problème: être facilement accessible, mais de qui on le souhaite.
ça passe par de l’éducation et de la formation, ainsi que de la législation, en même temps qu’il faut développer de nouveaux protocoles.
mais si on compare avec le réseau téléphonique, ce n’est pas la disparition des pages blanches du bottin qui a empêché le démarchage d’exploser, ils ont trouvé à acheter des listes de numéros un peu partout, je les soupçonne même de scanner des plages de numéros au hasard.
C’est certainement lié au fait qu’envoyer et établir un appel ne coûte quasiment rien, si chaque appel dans le vide leur coûtait 10 centimes, ils se calmeraient assez vite et ne balanceraient pas 50 appels d’un coup pour n’en prendre aucun.
Le réseau microsoft en workgroup est l’exemple type de ce qu’il ne faut pas faire: un coup dans un sens et un coup dans l’autre.
Autant c’est stable en domaine AD autant c’est la foire en workgroup, tout ça parce qu’ils ne veulent pas éduquer les utilisateurs sur des règles et leur faire croire que tout peut être facile en réseau.
Mais il y a sans doute moyen de profiter du passage à ipv6 et de son gigantesque nombre de possibilités en termes d’adresses pour générer pourquoi pas une adresse par service (vu que tout passe bientôt sur le port 443 ou sur UDP par QUIC) et gérer des annuaires dynamiques pour ça façon AD, avec de nouveaux protocoles si nécessaire.
Les ports ne sont plus vraiment utiles en ipv6.
Après tout,
tout le monde utilise un répertoire téléphonique, nous ne mémorisons plus un seul numéro, moi en tout cas, sauf quelques anciens, justement de l’époque d’avant, mais c’est juste 2 ou 3.
Sur ces répertoires, tout le monde est à peu près capable de coller liste noire ou liste blanche pour préciser qui a le droit de l’appeler et qui ne l’a pas, il n’y a aucune raison que ça ne soit pas possible avec des adresses ipv6.
#14
Ça me fait penser à l’histoire avec Anker et ses caméras Eufy, un marketing orienté “security by design” et du traitement soit disant local, alors qu’au final tout est envoyé dans le cloud.
Beaucoup de marketing pour rassurer le client, lui vendre une caméra chère et soit disant sécurisée et aucun moyen technique derrière pour délivrer la promesse.
https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storage
#15
Malheureusement, il faut bien constater que l’immense majorité des appareils connectés sont effectivement liés à un compte dans un cloud propriétaire, qui sont naturellement incompatibles entre eux, et qui sont présentés comme la seuls solution technique possible par les fabriquant.
Dernière exemple subi en date : un lave vaisselle, dont certaines fonctions ne sont accessibles que via une app sur le smartphone, qui passe par un cloud proprio. Aucune API locale dispo …
J’ai un petit espoir avec le fameux nouveau protocol “matter”, qui à été normalisé, et qui devrait progressivement se répondre en 2023 : il devrait permettre aux appareils compatible matter d’être inter-opérable avec des systèmes comme HomeAssistant (https://www.home-assistant.io/), qui se donnent pour mission de rendre accessible la domotique “local”, sans aucun besoin de cloud.
.
Pour le moment, j’ai envi d’y croire … on verra dans quelques mois
#15.1
Sérieusement ?! Un lave-vaisselle dont certaines fonctionnalités se gèrent avec smartphone, déjà, je trouve que ça va déjà loin mais via le cloud du fabricant ??
Je me fais déjà bien chier avec mon appli Sauter (Atlantic/Thermor) juste pour pouvoir régler mon chauffage à distance via les serveurs de Sauter …
Le pire c’est qu’on risque de ne plus trouver de modèle sans ces “options obligatoires” àlakon dans quelques années.
#16
utilsier le reseau wifi guest de la box pour reseau IOT, ca passe,
j’avais racheté un routeur asus wifi 6 c’est ce que que je faisais, maintenant, ej suis passé à uen gamme un peu plus pro (ubiquiti)
les FAI devraient s’emparer du sujet et proposer de la segmentation vlan … (Iot, Box, PC, Nas, Pc enfants dans 5 vlans différents chez moi, et tous étanche, ou juste le minimum d’acces autorisé (partage smb, https sur nas, ports des imprimantes ouverts, ….
#17
HomeAssistant ne requiert rien.
Ce ne serait pas si difficile: chez moi j’ai trois SSID Wifi (et même plus …). Un seul Wifi peut accéder aux deux autres, par contre les appareils sur le Wifi IOT et sur le Wifi téléphone ne peuvent communiquer directement avec les autres appareils. Ils peuvent aller sur internet et accéder à leur gateway (qui héberge homeassistant pour l’IOT)