Objets connectés et vie privée !

10-08-2014

Shodan, un moteur de recherche pour objets connectés

Vous consultez peut être vos mails sur votre smartphone. A moins que vous ne fassiez une recherche géolocalisée sur Google pour trouver l’épicerie la plus proche… ? Geste anodin et pourtant… le smartphone est le premier des objets connectés.

Demain, votre frigo vous indiquera peut être les aliments qu’il contient, classés par date de péremption, les recettes qui vont avec et la liste de course sur votre smartphone… Des données qui sont aussi susceptibles d’intéresser les grandes surfaces, votre assureur ou les professionnels de l’agroalimentaire…

Selon des estimations, chacun d’entre nous possèdera environ 8 objets connectés en moyenne en 2018. Ces objets connectés seront suffisamment intelligents pour communiquer entre eux. C’est le Machine-to-machine ou M2M. Tout l’enjeu est de savoir ce qu’ils feront des données personnelles.

Shodan, un moteur de recherche dédié aux objets connectés.

Plusieurs affaires ont récemment mis en lumière l’enjeu de la protection de ces objets connectés et l’information aux utilisateurs des données qu’ils transmettent. Le moteur de recherche Shodan a été initialement créé pour répertorier les objets connectés. Mais certains pirates l’utilisent pour identifier les appareils les moins protégés et les utiliser pour envoyer des millions de spams. Deux journalistes norvégiens ont mis à jour en octobre 2013 certaines failles de sécurité dans les objets connectés. Par le biais de ce moteur de recherche, il était possible de contrôler des caméras distantes, de modifier le chauffage d’un immeuble ou de contrôler un barrage hydro-électrique…

Car de nombreux objets connectés n’ont pas de mots de passe, parce que l’interface développée ne permet pas toujours d’en créer un ou d’identifier les intrusions possibles et parce que les utilisateurs n’y sont pas sensibilisés.

Protection des données personnelles

Le développement du marché des objets connectés implique le développement de la confiance du consommateur final. En France, la CNIL (Commission Nationale Informatique et Liberté), qui assure la protection juridique relative aux objets connectés préconise :

  • D’utiliser un pseudonyme pour partager les données,
  • De ne pas automatiser le partage des données vers d’autres services,
  • De ne publier les données qu’en direction de cercles de confiance;
  • D’effacer ou récupérer les données lorsqu’un service n’est plus utilisé.

Aux Etats-Unis, la Federal Trade Commission (FTC), chargée de la protection des consommateurs et de la concurrence, a récemment jugé les pratiques de sécurité de la société Trendnet comme laxiste. Les caméras qu’ils vendaient étaient accessibles sur Internet et violaientt la vie privée de centaines de consommateurs… La FTC a imposé à Trendnet d’établir un programme exhaustif de sécurité de l’information, de se soumettre à un audit tiers tous les deux ans pendant les vingt prochaines années, d’informer les clients et de fournir une assistance technique gratuite pour les deux ans à venir pour aider ses clients à mettre à jour ou désinstaller les caméras.

Source :

  • connected-objects