Les maisons connectées transforment nos domiciles en apportant confort et efficacité mais elles soulèvent aussi des préoccupations en matière de sécurité contre les intrusions numériques qui peuvent entrainer des atteintes à la vie privée mais également des intrusions physiques dans le domicile. Des stratégies de prévention, similaires à celles permettant de protéger les données sur ordinateur ou téléphone, peuvent être mises en place pour protéger le foyer.
Avec l’ère du numérique, la maison connectée incarne une révolution dans notre manière de vivre. Elle est devenue le symbole d’un futur dans lequel l’automatisation et l’internet des objets facilitent et améliorent notre quotidien. Ces technologies permettent un gain de confort et une optimisation de l’énergie.
L’adoption massive de ces technologies connectées dans nos habitations nous expose à des risques inédits. En effet, les infractions numériques, jusqu’alors cantonnées à nos ordinateurs et smartphones, s’étendent désormais à ce nouveau terrain de jeu. Les menaces se diversifient et se complexifient, posant des difficultés d’appréhension pour les utilisateurs et des risques de litiges avec les assurances.
La maison connectée (ou smart home) est une habitation équipée de dispositifs et d’appareils intégrés à Internet qui collectent, échangent et analysent des données pour automatiser ou optimiser certaines tâches domestiques. Ces dispositifs peuvent être contrôlés à distance via des applications sur des smartphones, des tablettes ou des ordinateurs.
Parmi ces dispositifs, il est possible de retrouver :
L’effraction électronique est un terme commun utilisé pour parler d’un accès non autorisé ou illégal aux systèmes informatiques d’une maison connectée. Elle permet ainsi d’avoir accès aux informations personnelles et sensibles stockées sur les dispositifs ou transmises par eux, permet de manipuler les dispositifs et d’en prendre le contrôle, et permet d’espionner à distance les occupants. Contrairement à l’effraction physique, elle n’implique aucune destruction et est par conséquent plus difficile à prouver.
Cette infraction électronique est permise par n’importe quel objet connecté dès lors que celui-ci n’est pas sécurisé. En effet, les fabricants n’ont pas d’obligations particulières en matière de normes de sécurité et n’ont pas d’obligation d’émettre des transmissions cryptées de donnée. Ainsi, nombre de dispositifs bas de gamme n’utilisent pas de mot de passe sécurisé et l’accès par un pirate est aisé. Ils n’ont pas non plus d’obligations d’effectuer des mises à jour régulières et certains cessent de les délivrer après une courte période, laissant ainsi les utilisateurs avec de graves failles de sécurité. Il est donc préférable de veiller à acheter des produits auprès de fabricants réputés.
La plus grosse faiblesse de ces dispositifs est leur besoin constant d’être reliés à internet. En conséquence, de la même façon que pour les autres appareils, il faut veiller à sécuriser la connexion internet et notamment la box WIFI, installer des pares-feux, des antivirus et les mises à jour du fabricant, changer de mot de passe et ne pas utiliser le même mot de passe pour tous les appareils. L’idéal est de pouvoir connecter ces appareils à un réseau différent pour limiter les failles.
La première des infractions, et celle qui permettra toutes les autres, à celle d’accès et de maintien frauduleux dans un système de traitement automatisé de données (STAD). Il s’agit du fait d’accéder ou de se maintenir, sans droit, dans tout ou partie d’un système de traitement automatisé de données. Cela inclut les actions de franchir, supprimer ou contourner une mesure de sécurité. Il s’agit de la traduction juridique « effraction électronique ».
Ainsi, le simple fait de s’introduire dans l’un des dispositifs de la maison connectée est susceptible d’être sanctionnée, même en l’absence de tout autre acte. Malheureusement, les pirates agissant rarement pour rien, il sera souvent possible de constater d’autres atteintes aux STAD.
En effet, une fois rentré dans le système, le pirate pourra, au choix, introduire, extraire, détenir, reproduire, transmettre, supprimer ou modifier des données. Il pourra également altérer le fonctionnement du système, notamment en l’entravant ou en le faussant.
Par exemple, il pourra récupérer les données du système pour analyser les comportements des occupants, et les revendre à des personnes souhaitant se préparer au mieux pour des cambriolages. Il pourra par ailleurs enregistrer les images des caméras de vidéo surveillance et les publier sur internet.
En matière d’altération du fonctionnement du système, il pourra modifier les logiciels internes pour les faire agir différemment et par exemple en faire une commande pour l’ouverture des volets électroniques, voire de la serrure connectée et pouvoir s’introduire dans la maison.
Ces atteintes sont punies de peines pouvant aller jusqu’à 7 ans d’emprisonnement et 300.000 euros d’amende.
L’usurpation d’identité est le fait pour une personne de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération.
Avec les informations disponibles dans les différents dispositifs de la maison connectée, un pirate pourrait usurper l’identité des occupants pour commettre d’autres infractions et notamment une escroquerie. Au-delà des simples données telles que les prénoms et noms, l’adresse email, le numéro de téléphone, l’adresse postale, le numéro de Sécurité sociale, etc. certains dispositifs permettent d’avoir accès à l’image et la voix des occupants.
Par exemple, vous disposez d’un assistant vocal à la maison, utilisé par toute la famille, y compris les enfants (déjà adultes) de passage. L’un des enfants part en voyage dans un pays éloigné et vous recevez un appel de cet enfant paniqué qui a besoin d’une très grosse somme d’argent pour ne pas aller en prison. Sans chercher à comprendre, vous faites le virement sur le compte communiqué par votre enfant et espérez qu’il vous rappelle pour vous dire qu’il va bien. Après quelques jours, vous vous inquiétez, vous essayez de l’appeler sur son téléphone et il vous répond qu’il ne vous a jamais appelé. Pourtant, vous l’avez reconnu, c’était bien sa voix. Il s’agissait en réalité d’une usurpation d’identité permise par la récupération des données sur l’assistant vocal, qui outre la voix, savait où partait votre enfant.
L’usurpation d’identité est punie d’un an d’emprisonnement et de 15.000 euros d’amende. L’escroquerie quant à elle est punie jusqu’à 7 ans d’emprisonnement et 750.000 euros d’amende.
Le cambriolage, terme non juridique, est une violation d’un lieu privé, généralement par effraction, dans l’intention de commettre un vol. Le vol quant à lui est la soustraction frauduleuse de la chose d’autrui. Il peut être commis avec ou sans effraction, l’existence de celle-ci étant uniquement une circonstance aggravante et non un élément de qualification de l’infraction.
Le vol de certains véhicules avec une intrusion dans les STAD permettant de faire un doublon de la clé et de voler le véhicule était déjà connu. Désormais, avec l’émergence en nombre des serrures et volets connectées, le piratage de ces dispositifs permet ensuite de s’introduire dans le domicile.
Par exemple, en pleine canicule l’été, vous décidez d’ouvrir les fenêtres et de fermer les volets avant de partir au restaurant pour rafraichir les chambres avant de dormir. En principe, il faudrait démonter ou détruire les volets pour rentrer dans le domicile et ainsi commettre une effraction. Le volet étant connecté, le pirate a seulement à s’introduire dans le système pour lui commander l’ouverture et s’introduire, en toute discrétion et sans laisser de traces, dans le domicile.
Pareillement, vous partez en vacances en votre voisine doit venir chaque jour nourrir le chat. Pour plus de simplicité, vous choisissez d’utiliser une serrure connectée et vous lui ouvrez chaque jour à distance, ce qui permet d’éviter une éventuelle perte des clés. Le pirate s’introduit dans le système et découvre que la voisine vient tous les jours à la même heure. Il attend donc son départ et s’introduit à son tour en prenant les commandes du dispositif à distance.
Le vol est puni de peines allant jusqu’à 7 ans d’emprisonnement et 100.000 euros d’amende. Si l’auteur peut sans difficulté être poursuivi pour vol, des difficultés peuvent apparaitre avec les assurances.
Si la jurisprudence est plus fournie s’agissant du vol de voiture avec effraction électronique, il y a fort à parier que celle-ci pourrait s’appliquer aux cambriolages.
Pendant longtemps, les assurances refusaient d’indemniser les victimes de vol de véhicule dès lors que ceux-ci ne présentaient aucunes traces d’effraction, et ne prenaient donc pas en compte le piratage des mécanismes d’ouverture et des commandes du véhicule, notamment par la création d’un double des clés. Désormais, la jurisprudence reconnait l’existence des effractions électroniques permettant l’indemnisation de la victime, si celle-ci parvient à prouver l’effraction. Il y a fort à parier que la jurisprudence sera similaire s’agissant du piratage des serrures connectées.
