hacker pirate maison

Les équipements d’une maison connectée se retrouvent aujourd’hui quasiment tous reliés à Internet. A-t-on raison d’avoir peur que notre maison puisse, comme un ordinateur, recevoir un virus ou être piratée ?

Une maison connectée est équipée de nombreux appareils qui vont être reliés au réseau informatique. Il y a par exemple les objets qui vont envoyer régulièrement leurs données dans le cloud, comme une station météo ou un pèse-personne. On trouve aussi les appareils audio/vidéo qui peuvent être pilotés par une application mobile. Et puis il y a la box domotique, qui doit être reliée à Internet pour son accès à distance, ceci afin de vérifier l’image des caméras ou l’état de l’alarme par exemple.

Login/mot de passe

Dans notre monde électronique actuel, on peut difficilement se passer du confort apporté par cette connectivité omniprésente. Connectés au même titre que votre ordinateur fixe ou portable, ces appareils peuvent-ils se faire pirater ?

A priori, toute connexion sécurisée par un login et un mot de passe est parfaitement protégée, jusqu’au moment où ce couple login/mot de passe est découvert. Si l’on évite soigneusement la liste des mots de passe les plus courants, il y a peu de chance que les différents comptes des appareils de sa maison connectée deviennent accessibles.

Si vous vous connectez sur un ordinateur en dehors de chez vous, à votre bureau, dans un hôtel, etc., il faut bien sûr veiller à ce que le navigateur ne mémorise pas le login et le mot de passe que vous venez d’entrer pour aller visionner vos caméras de surveillance.

Il reste le cas où c’est la plateforme cloud liée à un équipement connecté qui se fait pirater : les couples login/mot de passe de tous les clients deviennent potentiellement accessibles. Cette situation est heureusement rarissime, et le fournisseur vous contactera rapidement pour vous demander de modifier votre mot de passe.

Si l’on fait bien attention à ces différents points, il n’y a quasiment aucune chance qu’un pirate puisse prendre la main à distance sur vos appareils connectés.

home hacked

Virus ?

Les appareils connectés peuvent-ils être infectés par un virus au même titre qu’un ordinateur ? La réponse est non ! Si l’on observe le monde des ordinateurs, on voit que ce sont principalement les PC sous Windows qui sont touchés par les virus. Les ordinateurs Mac ont longtemps été épargnés, même si cela commence à arriver. Les pirates s’attaquent tout simplement au plus grand nombre, c’est plus simple.

Le parc d’ordinateurs Mac ne semble pourtant pas suffisant à leurs yeux, alors qu’il est déjà important de par le monde. Imaginez donc les appareils connectés comme les objets et les box domotique ! Leur nombre est vraiment trop faible pour que les pirates s’y intéressent et qu’ils créent des virus spécifiques.

On peut donc dire que de côté là, on est tranquille pour un moment.

Interception des communications

Si le pirate ne peut accéder à distance à votre maison connectée et à ses équipements, la solution qui lui reste est de se déplacer pour venir intercepter les communications sans fil sur site. Il a deux solutions : trouver la façon de communiquer avec les équipements, ou bien brouiller la communication pour que les équipements ne soient plus capables de communiquer entre eux.

Dans le premier cas, il devra se faire passer pour un émetteur : soit en WiFi, soit dans le protocole des équipements. En WiFi, il lui faut arriver à trouver ou à craquer les codes de connexion. Je vous conseille de choisir des termes complexes pour les mots de passe et d’utiliser le mode de cryptage le plus sûr, le WiFi avec une clef WPA2.

Dans le cas des autres protocoles sans fil liés à la maison connectée (RF, Z-Wave, etc.), l’opération est complexe. Dans certains cas, il faut techniquement réaliser une « association » avec au moins l’un des appareils physiquement à l’intérieur de la maison (box domotique, répéteur, etc.), ce qui exclu tout risque. Dans d’autre cas, les pirates les plus chevronnés seraient capables de lire les informations transitant entre les équipements, puis de se faire passer pour l’un des éléments et d’envoyer des commandes pour prendre le contrôle global. Même si elle existe, cette dernière opération complexe reste pour l’instant anecdotique.

hacker home

Brouillage radio

Reste le cas du brouillage radio. Le pirate va devoir s’équiper d’un brouilleur qui empêche les éléments de communiquer entre eux. Il ne pourra effectuer aucun contrôle, mais il va empêcher les équipements d’effectuer des actions, comme la détection d’une intrusion qui déclencherait la mise en route d’une sirène par exemple. Dans le cas d’un brouillage, le système même mis en marche sera totalement inopérant.

Heureusement, certains systèmes sur le marché sont équipés d’une fonction anti-brouillage qui réagit à une tentative, de la même façon qu’à une tentative d’effraction : la sirène se met en route et une alerte est envoyée. C’est le cas des centrales Myfox !

En conclusion

Un certain nombre d’articles sur le sujet dernièrement ont pu vous alerter. Les risques existent, mais ils sont ultra limités si vous prenez les quelques précautions nécessaires : mots de passe complexe, réseau WiFi WPA2 et box domotique avec fonction anti-brouillage. L’idée d’un virus qui s’auto-installerait pour prendre le contrôle de la maison est encore de l’ordre de la science-fiction.

Enfin, pour attaquer un système, le pirate doit nécessairement savoir ce que vous possédez comme équipement. Ceux-ci sont tellement nombreux sur le marché que cela ajoute de la complexité à ses desseins : comment être sûr d’avoir le bon brouilleur et les bonnes solutions sans connaître le système installé ? Comment savoir quels équipements sont en fonctionnement, quelles actions ils effectuent ou pas, quels sont les commandes possibles à distance ?

Le hacking de maison n’est pas encore d’actualité, et on l’espère pour encore longtemps !

A propos de l'auteur

Brand love manager :) Des questions sur les systèmes d'alarme connectés et intelligents ? Lisez nos articles, suivez notre actualité, parcourez nos FAQ, ou demandez-moi !

13 Comments

  1. Je crois que l’on a fait le tour des possibilités de piratage et les reponses données para MyFox me semblent tout a fait raisonables et plausibles. Mais il en reste une qui n’a pas étè abordée: l’acces aux donées par les administrateurs du cloud. Vous etes vous rendus compte du potentiel d’information qui reside chez le cloud de MyFox ? Qui à accés à cette information ? A la limite MyFox peut « regarder » directement chez moi…non ?
    Imaginez que vous achetez le super coffre fort que vous installez dans votre cave avec tout vos valeurs dedans. Metteriez vous la combinaison dans le cloud ?
    MyFox fait la meme chose que Apple, Amazon, Facebook, Google, etc, il se garde une petite tranche d’information virtuel sur notre compte. On leur paye leur gadgets à prix d’or et en plus on leur laisse toute l’information, c.a.d., tout le controle.
    Alternatives ?

    • Bonjour,
      @ hola : votre banquier possède les accès à votre compte et peut espionner vos achats, un serrurier qui vous installe votre coffre fort peut également avoir fait le double des clefs, le vendeur de voiture aussi, et peut-être que le plaquiste qui est revenu faire votre chambre à mis une caméra espion… sauf à vivre en marge de la société de consommation, on nous demande en tant que consommateur de faire confiance aux professionnels comme on l’a toujours fait (même avant l’arrivée d’internet).
      Cordialement,
      Fabien

    • +1 Fabien très bonne réponse je la note.

      J’avais posé la question sur la communauté SARAH le consensus était:
      – Un cambrioleur passe par là avec un tounevis => une alarme de base + webcam suffit
      – Un mec vous en veux, a étudier vos actions => une bonne assurance suffit

      Après les données dans le Cloud … il faut des professionnels serieux

  2. J’aime bien ce résumé en deux situations possibles ! 🙂

  3. Bonjour et merci pour cette article, ce thème de la sécurité est de plus en plus discuté (notamment avec l’actualité)
    Mais cette article ressemble à une plaquette distribué au revendeur MyFox pour rassurer les éventuelles futur acheteur de produit domotique.
    Il n’y a aucun chiffre pour justifier, argumentation, ni exemple.
    C’est simple les expressions tel que « peu de chance », « quasiment aucune chance », « heureusement rarissime » sont là pour confirme le manque d’étude sur le sujet.
    De plus, toute l’argumentation de cette article porte sur comment l’utilisateur doit se protéger et rien sur ce que propose les équipements de domotique pour sécuriser les produits et données personnelles.

    En sécurité, il faut juste se poser une question: pourquoi pirater, pourquoi cambrioler une maison? pour l’argent principalement!
    Donc aujourd’hui, les nouvelles principales attaquent pour vole d’information personnel sont sur les mobiles, ainsi l’usurpassion d’identité est facilement réalisable et utilisable : tout le monde stocke tous sur son mobile sans protection!

    Il faut donc ce demande, pourquoi surveiller une maison domotisé? Pourquoi hacké le serveur de l’hebergeur? Pour connaitre les habitudes de ces habitant et ainsi revendre ces informations.
    Les nouveaux cambrioleur auront donc facilement accès à un catalogue de cible potentiel: ils seront les heures et venu des habitants, visualiser s’ils sont présent (video, capteur de presence, température des pièces) et comment pénétrer sans trop de contrainte (même pourquoi pas automatisé leur venu: ouvrir le portail, couper l’alarme à distance, fermer les volets et allumer la lumière avant leur arrivé).

    Comme à la question sur les Virus, la réponse était : « La réponse est non », mais l’article finissait avec « on est tranquille pour un moment. »
    Cela montre bien, que rien n’est sécurisé pour le moment et heureusement, personne ne s’y intéresse.
    Mais Z-wave avec son 1000eme objet connecté commercialisé, je pense qu’il est vraiement temps de s’y interesser et de mieux sensibilisé les futurs clients.

    • Tu enfonces des portes ouvertes … oui … aucune sécurité n’est parfaite, en général le coût qu’on investit dedans est le coût que l’attaquant devra déboursé.

      En pratique, en dehors de Ghost In The Shell, le nombre d’attaques « industrielles » est négligeable. C’est plutôt 3 manouches qui se balade dans la rue pour cibler qui est présent.

      Faut rester pragmatique, ce qui à le meilleur rendement chez les pentester c’est l’attaque sociale…

      • Oui, c’est probablement ma culture CyberPunk où je vois un demain full numerique où toutes nos actions seront dépendant d’un Network. Donc même les infractions passerons par le piratage de nos données 🙂
        D’où le besoin de prévenir plutôt que de guerir.
        Aujourd’hui on domotise tout, nous connectons tout au réseaux, s’en prendre compte de la sécurité, on dépose nos données personnelles sur internet, leur durée de vie… que deviendrons ces données? Comment faire pour supprimer l’historique?

        • j’ai un projet de fin d’etude qui consite à developper un programme qui annalyse le reseau local « le protocole Z-wave  » afficher les equipements connecté via ce reseau.detecte les differents types d’attaques qui peut avoir la box et determine la solution contre ses attaques.
          POurriez vous m’aider de donner un lien qui peut m’aider à diterminer les differents types d’attaques qui peut avoir la box et les solutions contres ses attaques « protocole Z-wave »

          Merci.

    • Oh demain Mr et Mme Michu auront leur CB/Paypal directement branché chez Google qui leur indiquera ce qu’il aime et doivent acheter.

      En terme de sécurité, tout va rentrer dans le rang dès que les entreprises et les géants du web se mettrons à normaliser « tout ce bordel ». On est encore au stade early adopters.

      (C’est aussi pour ça que je parle de framework pour SARAH et non de produit)

      Withings et les autres commencent à lever pas mal d’argent ce qui va permettre de bien tout stabiliser

  4. Bonjour,

    Vous avez raison car j’ai préféré traiter le sujet d’un point de vue très grand public, cet article ne se voulait pas scientifiquement exact. Nous sommes d’accord sur la conclusion : les risques existent, mais les hackers ne s’y intéressent pas encore sérieusement.

    Il y a déjà les systèmes qui allument la lumière et ferment les volets à des heures aléatoires pour laisser croire à une présence. On peut aussi imaginer un système qui génère de fausses activités sur le réseau informatique/RF/bus pour laisser croire que les habitants sont présents.

    Je confirme ma conclusion sur le fait que pour l’instant on est tranquille, mais que la question devra être reposée, avec des chiffres à l’appui, dans un futur proche.

    Merci pour votre participation.

  5. Enfin une article dont le sujet est à la fois intéressant et peu étudié.Votre article sur la sécurité de la maison est un mine d’or .Je vais m’en servir pour enrichir mes formations par ailleurs

  6. la quantité de données est énorme: si on oublie en rentrant chez soi de mettre en « vie privée », tous les administrateurs ont accès à votre vie privée, comment effacer l’historique de toutes ces « mémoires tampons » au fil des heures, des minutes sur home alarm myfox

  7. les quantités de données sont énormes, si on oublie en rentrant chez soi de mettre home alarm myfox sur « vie privée », tous les administrateurs ont accès à votre vie privée heure par heure minute par minute: comment alors effacer l’historique

Laissez une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Close