Maison intelligente : 900 foyers français sont vulnérables aux fuites de données

Des serrures de portes qui s’ouvrent grâce au smartphone, des rideaux qui se ferment lorsque le soleil arrive dans votre pièce, ou encore un chauffe-eau qui se met en marche, juste à temps pour votre retour du bureau : toutes ces technologies peuvent jouer contre vous s’ils ne sont pas suffisamment sécurisés, met en garde la société Avast, dont les spécialistes viennent de trouver une nouvelle faille dans la conception de ces installations.

Selon Avast, plus de 49 000 serveurs MQTT à travers le monde (ces mêmes serveurs qui permettent l’interaction entre ces appareils connectés et le smartphone de l’utilisateur) sont publiquement visibles en ligne à cause d’une mauvaise configuration du protocole. En France, près de 900 serveurs, non protégés par des mots de passe, sont concernés, les exposant à des risques de fuite de données.

D’après les spécialistes d’Avast, bien que le protocole MQTT en lui-même soit sécurisé, de graves problèmes de protection peuvent survenir s’il n’est pas correctement implémenté et configuré. Les cybercriminels pourraient en effet avoir un accès complet à un domicile et savoir quand les propriétaires, ou occupants, sont présents, manipuler les appareils au service du divertissement et ménagers, ainsi que les assistants vocaux ; et voir si des portes et des fenêtres intelligentes sont ouvertes ou fermées. Parfois, les hackers peuvent même suivre à la trace un utilisateur, ce qui peut constituer une menace grave pour la vie privée et la sécurité.

L’application mobile OwnTracks, largement utilisée pour avertir les appareils connectés de la position géographique de l’utilisateur, se connecte elle aussi aux serveurs MQTT. Ainsi, les informations qu’elle transmet se trouvent exposées, puisque n’importe qui peut se connecter au serveur, y compris les cybercriminels. Ces derniers peuvent ainsi récupérer les dates et les heures de déplacements des propriétaires.