Et si votre maison connectée devenait votre pire ennemie...

Un dossier de Jonas Legge
Février 2021

Faites place à votre imagination. Vous êtes, au choix, un trafiquant d'armes, un braqueur, un important dealer. Pire encore si vous le souhaitez. Vos affaires, aussi illégales soient-elles, sont florissantes. Les problèmes d'argent, ça ne vous connait pas. Vous êtes entouré d’acolytes aussi fidèles que redoutés. Dans le milieu, vous êtes connu, respecté, admiré. Mais aussi jalousé. Certains aimeraient carrément que vous disparaissiez...

Alors, vous avez équipé votre maison d'un matériel dernier cri pour vous prémunir de toute intrusion. La porte d'entrée est évidemment blindée et pare-balles. La serrure motorisée ne permet une ouverture qu'à la lecture de vos empreintes digitales. Vous avez pourvu toutes les fenêtres de volets électriques munis d'une sécurité anti-relevage et qui ne s'activent qu'à l'aide de la reconnaissance faciale. Vous avez évidemment placé des caméras intérieures et extérieures, ainsi qu'un système d'alarme. Et tout autour de votre habitation sont cachés des détecteurs de mouvement.

Vous le reconnaissez, la technologie est l'un de vos pêchés mignons. Mais vous la craignez aussi. Vous savez que, sur votre téléphone portable, vous pouvez facilement être écouté, suivi, espionné. Pour votre business, vous n'utilisez donc qu'un bon vieux Nokia 8210, dont le modèle est sorti en... 1999. Ses fonctionnalités ? Appeler et envoyer des SMS, à peine plus. 4G, bluetooth, wifi, NFC ? Introuvables sur l'appareil.

Puisque vous savez que toutes les technologies sont faillibles, vous avez fait appel à un hacker professionnel pour vous aider dans l'installation de toute la domotique. Ce petit génie de l'informatique a sécurisé chaque appareil. "Votre domicile est inviolable", vous a-t-il assuré au moment de repartir alourdi d'une enveloppe de billets.

Mais voilà, bien qu'il se soit engagé à ne jamais rien révéler, ce petit geek ne tarde pas à vous trahir. Sous la menace d'une arme, les euros perçus équivalent à zéro. Ca se confirme, un de vos concurrents n'apprécie pas la place que vous avez prise sur le marché, et il est bien décidé à vous le faire payer. Le hacker met du temps pour rentrer dans les systèmes mais, au bout d'une dizaine de jours, il parvient à prendre possession à distance de chacun des appareils qu'il avait lui-même cryptés. Il en donne les commandes à votre concurrent. Durant plus d'un mois, ce dernier scrute vos moindres faits et gestes, vos déplacements, vos habitudes alimentaires, vos goûts musicaux... Il consigne aussi les heures où votre garde rapprochée s'absente et vous laisse seul chez vous.

Puis, un jour, il passe à l'action. Il commence par mettre hors d'usage l'antenne-relais de téléphonie mobile la plus proche de chez vous, ce qui vous empêche de passer le moindre appel. Ensuite, il verrouille votre porte d'entrée, descend les volets et bloque le système. Vous vous retrouvez coincé à l'intérieur de votre propre domicile, sans le moindre interstice laissant percer la lumière du jour. C'est là que votre calvaire commence. Votre adversaire bidouille le thermostat pour mettre la température à plus de 30 degrés puis la fait brusquement redescendre pour vous placer dans des conditions dignes d'un frigo de boucher. Il prend un malin plaisir à vous plonger dans le noir complet à des heures totalement aléatoires pour vous faire perdre vos repères. Comme à Guantanamo, il passe sans cesse des morceaux musicaux à la construction particulièrement répétitive, comme "The Real Slim Shady" d’Eminem, "I love you" de Barney ou le générique de l’émission pour enfants "1, rue sésame". Vos sbires ont beau s'inquiéter, à moins de faire exploser votre porte ou vos volets, il leur est impossible de rentrer chez vous.

Au bout de trois jours de stress intense, vous n'en pouvez plus. Votre bourreau le constate via les caméras de vidéosurveillance. Il prend possession de votre enceinte connectée et vous annonce que le calvaire s'arrête. Il vous invite évidemment à vous retirer du marché et vous annonce qu'il a dérobé votre identité faciale et s'en est servi pour vider certains de vos comptes bancaires. Les volets se relèvent, la porte s'ouvre. Vous êtes libre.

De la fiction au réel...

Un tel scénario relève-t-il de la pure fiction ? Du côté de la Computer Crime Unit, qui enquête notamment lors de vols de données ou de blocages de systèmes informatiques, on n'a pas connaissance de tels détournements sur des particuliers. Le commissaire Olivier Bogaert signale cependant que les plaintes pour piratage enregistrées par les polices locales ne remontent pas nécessairement jusqu'à son unité. "Il se peut même que les victimes ne soient pas conscientes du hacking dont elles ont fait l'objet", prévient-il.

Même si l'exemple est poussé à l'extrême, il est tout à fait possible qu'une personne soit séquestrée à domicile grâce à la domotique, estime pour sa part Pierre Pozzi Belforti, entrepreneur et investisseur actif dans l'immobilier. "On connaît de telles situations dans le domaine professionnel", renchérit ce Belgo-Italien menant des affaires notamment dans la Silicon Valley. "Des cartes magnétiques ont par exemple été hackées pour pouvoir accéder aux chambres d'un hôtel. Des clients sont également déjà restés enfermés dans les chambres. Les chaînes hôtelières ont dû payer des rançons pour que les pirates libèrent le système. Les dégâts sur l'image de l'établissement sont considérables." Il est déjà arrivé aussi que des entreprises se fassent bloquer leur cloud (ce "nuage virtuel" où sont stockées des données), leurs banques de données, leurs ordinateurs...

Pierre Pozzi Belforti

Pierre Pozzi Belforti

Pierre Pozzi Belforti

De telles situations pourraient se multiplier et toucher un public bien plus large avec l'arrivée de la 5G. "La technologie sera encore plus rapide donc les objets connectés seront de plus en plus présents dans notre vie quotidienne, y compris dans nos vêtements, nos chaussures, nos brosses à dents, qui seront munis de micro-processeurs", prédit Pierre Pozzi Belforti, qui est aussi professeur à Sciences Po Paris et à HEC Paris. "Dans un avenir assez proche, tous les objets seront connectés. C'est inéluctable, nous n'aurons pas le choix. Les données, c'est le nouveau pétrole. Les fournisseurs d'électro-ménagers et d'électronique se livrent déjà une bataille absolument furieuse pour prendre la place sur le marché. Le potentiel de ces nouvelles technologies est énorme mais c'est un géant aux pieds d'argile."

Deux problèmes majeurs

1. L'intrusion dans la vie privée

En enregistrant chacune des actions d'un consommateur, les marques finissent par connaître ses habitudes, ses goûts, ses envies... "Notre vie privée, notre mode de vie et notre identité sont menacées", s'inquiète Pierre Pozzi Belforti. "La reconnaissance faciale permet de nous identifier à notre insu, les données de géolocalisation transmises en permanence par notre smartphone permettent de nous suivre à la trace, les algorithmes et les systèmes d’intelligence artificielle prédisent nos choix, défient notre libre-arbitre, menacent notre système démocratique."

En outre, les géants du numérique continuent de capturer les données personnelles, sans que les consommateurs en aient conscience, pour les vendre à des entreprises de services, notamment à des fins publicitaires.

2. Le piratage des données

De nombreux appareils électro-ménagers et électroniques sont connectés au cloud des marques, qui est sujet aux détournements. "Avec un ordinateur assez puissant, le hacking est très facile", assure Pierre Pozzi Belforti. "Quand un pirate vole les données, il les revend sur le marché noir du web. C'est extrêmement bien organisé, avec des cotations qui évoluent plusieurs fois par jour. Vous pouvez acheter un code pin de carte de crédit pour 1 à 2 dollars, une empreinte digitale pour 50 cents, une identité faciale pour 15-20 dollars..."

M. Pozzi Belforti s'inquiète particulièrement du détournement de l'identité faciale. "Il ne s'agit pas d'une simple photo. C'est un scanner en 3D qui répertorie 35.000 points de votre visage et qui met sa banque de données à jour à chaque fois que vous déverrouillez votre smartphone. Si un hacker la revend, vous perdez votre identité faciale à jamais. L'acheteur peut alors s'en servir pour, par exemple, ouvrir un compte sur une banque digitale et faire chauffer votre carte de crédit sans que vous le sachiez. Vous ne parviendrez pas à prouver que vous n'y êtes pour rien car Google, Apple, Samsung et autres ne reconnaîtront jamais qu'il y a eu hacking. En plus, votre visage est perdu à jamais, vous n'avez plus d'autre choix que de subir de la chirurgie plastique pour récupérer une identité vierge. Ceci est à la fois ahurissant, effrayant, mais malheureusement en cours de matérialisation..."

Ces risques de hacking concernent évidemment aussi le smartphone, qui sert désormais à gérer la domotique à distance, à effectuer des opérations bancaires, mais qui devient aussi une "clé universelle" pour, par exemple, badger pour entrer dans une entreprise ou pour démarrer un véhicule comme une Tesla.

Comment se protéger ?

Face aux risques encourus, il existe des choix et des actions qui permettent de réduire l'exposition au hacking.

1. Opter pour des marques de qualité et des sociétés bien implantées qui ont un bilan solide

"Plutôt qu'acheter une technologie créée par une start-up sortie de nulle part, privilégiez le système d'une grande marque reconnue, dont les actionnaires ont une certaine réputation", recommande Pierre Pozzi Belforti.

2. Veiller à ce que les produits bénéficient des certifications européennes, qui sont un gage de qualité

Dans ce registre, l'exemple le plus criant est celui des caméras de vidéosurveillance, dont le marché est massivement entre les mains de sociétés chinoises. "Il faut absolument éduquer les acheteurs, qui ne veillent pas suffisamment à adapter les paramètres de sécurité et qui laissent l'identifiant et le mot de passe de base du fabricant", assure Olivier Bogaert. D'après le commissaire de la Computer Crime Unit, "un hacker va pouvoir se glisser dans le système, prélever des données et bafouer votre vie privée. Des personnes malveillantes vont aussi pouvoir épier les horaires d'une famille pour du repérage avant un cambriolage".

Le commissaire Olivier Bogaert

Le commissaire Olivier Bogaert

Le commissaire Olivier Bogaert

Certaines sociétés obligent tous les utilisateurs à créer eux-mêmes un mot de passe lors de la première installation. C'est le cas, par exemple, de Somfy, groupe industriel français spécialisé notamment dans l'automatisation des ouvertures de l'habitat et des systèmes d’alarme. "Pour nous assurer que nos produits ne peuvent être piratés, nous invitons de temps à autre des hackers à effectuer des tests de pénétration", explique Mark Pekelharing, chef de produit et expert Smart Home chez Somfy.

3. Ne pas choisir tous ses produits et services chez le même fabricant, mais plutôt diversifier les marques

"A titre d'exemple, ne prenez pas un système d'alarme de la même marque que le système de chauffage. Sinon, en cas de piratage du cloud, toutes vos données sont volées", souligne Pierre Pozzi Belforti. "Pour les services, dans mon cas, j'utilise Outlook pour les emails, Apple pour ma liste de contacts, Amazon (en partie) pour le Cloud, et j'ai banni toutes les applications Google de mes appareils car je soupçonne le géant américain d'espionner en permanence."

4. Privilégier le filaire au sans fil

"Si vous cherchez la sécurité, vous devez éviter les technologies sans fil qui passe par le wifi, car ce dernier est très facile à hacker", conseille l'investisseur italien. "Mais le filaire laisse nettement moins de flexibilité car il nécessite des prises dans les murs et du câblage. Et puis, ça coûte plus cher. Mais la qualité et la sécurité coûtent et coûteront de plus en plus. La cybersécurité est un marché naissant qui va devenir immense. Il existe d'ailleurs des wifis avec encodage, mais plutôt dans une optique professionnelle."

5. Éteindre un appareil qui est inutilisé car il est plus facile à pirater s'il reste allumé

Neuroprint, la technologie révolutionnaire ?

Avec son acolyte Martin Zizi, Pierre Pozzi Belforti a développé une technologie très prometteuse, fondée sur les micro-vibrations musculaires, intitulée Neuroprint. "Chaque fois que vous faites un mouvement, votre cerveau émet des signaux électriques pour commander les muscles du corps", décrit l'entrepreneur. "Le seul fait de prendre votre smartphone en main génère un million de signaux. La matrice qui génère cet ensemble d'impulsions est absolument unique par individu. Le système reconnaît donc si c'est bien votre main qui manipule le téléphone. Et il est absolument impossible de falsifier, détourner vos micro-mouvements. Il existe autant de combinaisons qu'il y a d'individus sur Terre."

Les deux fondateurs de la société Aerendir Global Technologies sont en discussion avec de grands groupes mondiaux (automobile, télécom...) pour appliquer leur création dans divers domaines. "Ce dispositif pourra par exemple servir à déverrouiller son smartphone, démarrer sa voiture, activer sa carte bancaire, autoriser un paiement, ouvrir sa porte d'entrée... Il permettra aussi de déterminer l'âge ou le sexe de la personne car la physiologie du corps et la texture musculaire évoluent avec les années et selon le genre. Le tout sans passer par un cloud et sans capturer la moindre donnée privée d'un utilisateur C'est tout à fait révolutionnaire."

L'entrepreneur évoque aussi des retombées dans le domaine médical. "Il est évidemment possible que le système ait un défaut et que le Neuroprint ne fonctionne pas. Mais si cela se reproduit, il se peut que votre signal neurologique ait subi une modification. Cela pourrait être le signal d'un début d’Alzheimer ou de Parkinson. Généralement, on ne détecte ces maladies que des années plus tard. On pourrait désormais les soigner beaucoup plus tôt."

Quand cette technologie sera-t-elle introduite dans des objets du quotidien ? "Nous disposons déjà de 15 brevets pour appliquer le Neuroprint et 16 autres sont en cours d'obtention car on souhaite couvrir un maximum d'applications possibles. C'est maintenant aux marques de décider d'implanter le Neuroprint dans leurs produits, après négociations avec nous. Sur un smartphone, il faut compter 6 à 12 mois, le temps de l'intégrer dans le système et de faire les tests. Dans un véhicule, c'est plutôt de l'ordre de 2 à 3 ans car le délai entre la conception et la production est plus long."

TopBuilt with Shorthand