Des chercheurs de l'université du Kent au Royaume-Uni ont sondé 553 parents britanniques et ont interrogé 25 familles sur leurs perceptions des risques de cybersécurité des objets connectés. Résultat : une connaissance limitée des menaces liées à l'utilisation de ces appareils à la maison et le constat d'un manque d'éducation des enfants à propos de l'IoT et de la cybersécurité.
Quatre chercheurs et chercheuses de l'Institut de cybersécurité pour la société (Institute of Cyber Security for Society, iCSS) de l'Université du Kent au Royaume-Uni ont voulu savoir quel était le niveau d'intérêt des familles britanniques pour la cybersécurité des objets connectés qu'elles possèdent chez elles. Leur article [PDF] publié dans la revue scientifique Proceedings of the ACM on Human-Computer Interaction conclut qu'elles ont « une connaissance limitée des menaces et des risques liés à l'utilisation d'appareils IoT [Internet of Things, Internet des objets, ndlr] à domicile », les familles se contentant de connaissances plus générales sur les risques liés à l'utilisation des ordinateurs.
- France Stratégie et les enjeux « massifs, et massivement sous-estimés » de sécurité de l’IoT
- Les objets connectés et la cybersécurité : Inria oscille entre utopie et dystopie
L'idée de ces chercheurs était de se poser deux questions :
- comment les familles gèrent-elles la cybersécurité liée à l'utilisation de leurs objets connectés domestiques ;
- comment et quand les familles s'informent-elles sur la sécurité de ces dispositifs ?
Pour y répondre, ils ont sondé 553 parents britanniques puis interrogé plus profondément 25 familles sur leur relation à ces objets du quotidien qui peuplent de plus en plus les maisons.
Plus concernés par le coût de remplacement que par la sécurité des données
Un des principaux problèmes de sécurité quand on parle des objets connectés, c'est le devenir des informations collectées une fois qu'on n'utilise plus l'appareil et qu'on le revend, qu'on le jette ou qu'on le recycle. Or, les chercheurs expliquent que « la principale préoccupation des participants au sondage en cas de casse de l'appareil concerne le coût de remplacement, et non les implications pour la sécurité des données ». Plus précisément, pour 67 % des appareils, leurs propriétaires étaient préoccupés par leur remplacement, mais la question de l'inaccessibilité des données ne se posait que pour 13 % d'entre eux et que la possibilité de les effacer n'était soulevée pratiquement par aucun des propriétaires (0,2%).
Lors de leurs entretiens avec les familles, aucun participant adulte n'a évoqué de menaces potentielles pour le domicile provenant des objets connectés, que ce soit en termes de facilitation des cambriolages ou d'autres dommages physiques. À l'inverse, deux couples de parents ont expliqué comment leur système de surveillance domestique connecté avait permis d'aider à l'arrestation d'un cambrioleur dans leur quartier et de se sentir plus en sécurité après des événements passés autour de la maison.
Les chercheurs expliquent que « les enfants semblaient être plus conscients des dommages physiques pouvant être causés par les appareils ». Deux enfants interrogés considéraient ces risques comme plus urgents que les risques pour les données personnelles : « Il y a beaucoup de choses branchées en bas - elles pourraient mettre le feu ! » leur a répondu l'un. Un autre : « Je pense que la chose la plus dangereuse est de mettre de l'eau à l'intérieur... c'est la seule chose qui soit dangereuse ». Selon les chercheurs, « ces préoccupations n'étaient pas partagées par leurs parents ».
Une information insuffisamment efficace
Sur l'information des utilisateurs sur les risques cyber des objets connectés qu'ils ont achetés, « la majorité des participants n'ont pas pu fournir de détails significatifs sur les exigences en matière de cybersécurité, que ce soit au moment de l'installation ou pendant la durée de vie de l'appareil » même si 60 % d'entre eux ont répondu qu'ils avaient reçu des instructions détaillées sur la façon de configurer leur appareil.
La majorité des utilisateurs interrogés ne se souvenaient pas d'une configuration impliquant un changement de mot de passe. Finalement, 55 % ne nécessitaient pas de changement de mot de passe, et les répondants ne s'en souvenaient pas pour 22 % qui le nécessitaient. Pour une grande partie des appareils (77%), leurs utilisateurs ne savent pas comment supprimer les données personnelles qu'ils contiennent.
Dans les entretiens menés dans les familles, les chercheurs ont constaté que « plusieurs adultes interrogés ont exprimé leur incapacité à comprendre ce qui est nécessaire pour sécuriser le foyer et agissent, en conséquence, en s'appuyant sur les autres adultes du foyer ».
Une des personnes interrogées va dans ce sens en expliquant : « [l'utilisation d'un logiciel anti-malware] était un peu ce qu'on nous a inculqué quand nous étions plus jeunes et quand nous avons eu nos premiers ordinateurs, mais avec tous les autres objets connectés, on s'imagine que c'est... là-dedans, je suppose. »
Très peu d'accompagnement à leur utilisation par des enfants
Pour près de 80 % des objets connectés, les parents interrogés par les chercheurs ont répondu qu'ils ne ressentaient pas le besoin d'aider leurs enfants à utiliser les objets connectés qui se trouvaient dans leur maison. Pour 9 %, les instructions se concentraient sur d'éventuelles blessures physiques ou sur le dysfonctionnement potentiel du service fourni par l'appareil.
Les parents interrogés estiment qu'ils n'ont aucune inquiétude à avoir quant à l'utilisation des appareils par leurs enfants pour 64 % des appareils étudiés, et leurs enfants ont déclaré utiliser 77 % des appareils par eux-mêmes, avec très peu de problèmes signalés.
Les chercheurs ont aussi demandé, dans leur sondage, comment les risques de cybersécurité étaient discutés à l'école et à la maison. Les parents ont cité pour la plupart le thème du cyberharcèlement (74 %), celui du danger des personnes inconnues (71 %) et des contenus en ligne dangereux (70 %). Mais beaucoup moins ont évoqué ce que les chercheurs qualifient de thèmes plus traditionnels de cybersécurité que sont l'utilisation de mots de passe forts et uniques (35 %) ou les logiciels malveillants (19 %). 15 % des parents interrogés ont avoué ne pas savoir ce que leurs enfants apprenaient à l'école.
S'il n'est pas possible d'extrapoler vraiment tous ces résultats à la population française ou européenne puisque nous avons des différences culturelles avec le Royaume-Uni, cette étude donne quand même quelques indications sur le degré d'information des foyers occidentaux sur les risques de cybersécurité des objets connectés.
Les auteurs de cette recherche espèrent pouvoir élargir leur champ géographique de recherche pour observer ce qui diffère dans d'autres juridictions et d'autres régions du monde.
