La maison connectée, un paradis pour les pirates

En moins de deux heures, trois spécialistes en cybersécurité engagés par CBC sont parvenus à découvrir le mot de passe du réseau wi-fi d’une famille d’Oakville, en Ontario. La famille en question avait accepté de se soumettre à un audit de sécurité.

Comme le même mot de passe était également utilisé pour régler les thermostats connectés de la maison, l’équipe de CBC a tout de suite pu changer la température à l’intérieur.

Les experts ont par la suite créé un courriel frauduleux ressemblant à s’y méprendre à un véritable message qui serait envoyé par Wink, le fabricant du contrôleur central de la maison. Ce courriel invitait la famille à se connecter à un site web en tous points semblable à celui de Wink. Il s’agissait en fait d’un portail créé par l’équipe de CBC pour enregistrer les informations qui y étaient entrées.

Cette méthode appelée hameçonnage, très répandue dans le milieu du piratage, est particulièrement efficace pour obtenir des informations confidentielles comme des mots de passe ou des numéros de cartes de crédit.

« C'est terrifiant... nous avons des enfants ici »

Une fois la famille piégée, les experts de CBC ont testé sur d’autres appareils le mot de passe qu’ils venaient de dérober. Ils ont ainsi pu déverrouiller la porte avant et regarder les images captées en direct par les caméras de surveillance à l’extérieur et à l’intérieur de la maison. Même l’enceinte intelligente Echo d'Amazon a pu être contrôlée à distance par l’équipe de Marketplace.

« C’est terrifiant qu’ils aient pu accéder à autant d’appareils, a indiqué Johanna Kenwood, l’une des résidentes de la maison. C’est chez nous… nous avons des enfants ici. »

Après avoir participé à l’expérience de CBC, Peter Yarema, le conjoint de Mme Kenwood, a indiqué qu’il allait retirer sa serrure du réseau wi-fi.

Comment sécuriser sa maison connectée?

Les experts qui ont piraté la maison de cette famille ontarienne préviennent que l’utilisation du même mot de passe sur plus d’un compte à la fois représente un important risque de sécurité.

Pour éviter un tel risque, ces spécialistes issus de la firme Scalar recommandent de se servir d’un gestionnaire de mots de passe. Ce type de service permet de générer des mots de passe complexes et uniques pour chaque compte en ligne. Tous ces codes secrets sont stockés dans le gestionnaire et un seul mot de passe est nécessaire pour y accéder.

Une autre solution serait d’utiliser des phrases de passe, de longs codes formés de trois ou quatre mots choisis au hasard. Ces phrases secrètes sont plus sécuritaires que les mots de passe et sont souvent faciles à retenir.

Arsenii Pustovit, chef d’équipe à Scalar, insiste également sur le danger que représentent les courriels d’hameçonnage. Cet expert explique qu’il faut être extrêmement prudent, voire méfiant, lorsqu’un courriel vous parvient d’une entreprise avec laquelle vous faites affaire. Il recommande de vérifier si le courriel provient d’une adresse avec laquelle l’entreprise a déjà communiqué avec vous et de la contacter directement si vous avez des doutes.

Il est également recommandé de ne jamais cliquer sur des liens contenus dans de tels courriels et de plutôt vous rendre par vos propres moyens sur le site de l’entreprise si vous désirez vous connecter à ses services.

Si les fabricants de vos appareils connectés ou les concepteurs de vos services en ligne le permettent, vous devriez aussi activer la validation en deux étapes sur vos comptes. Ce service oblige quiconque essaie de se connecter à un compte avec un nouvel appareil à fournir un code unique envoyé à un appareil de confiance, par exemple le téléphone du propriétaire du compte. Sans cet appareil de confiance, un pirate ne peut pas se connecter, à moins d’utiliser des méthodes sophistiquées et complexes.