Votre brosse à dents sait quand vous partez en vacances. Votre cafetière envoie vos horaires de réveil à un serveur distant. Et tout cela, parfois sans chiffrement. Bienvenue dans l’ère de l’espionnage domestique, version silencieuse… et souvent même légale.
Dans l’imaginaire collectif, les espions portent un costume sombre et des lunettes opaques. En 2025, ils ont surtout des résistances, des capteurs de pression et une connexion wifi. Et c’est là que le bât blesse. Plusieurs études, dont une publiée par Consumer Reports, montrent que de nombreux objets connectés collectent bien plus de données que ce qui est nécessaire à leur fonctionnement. Des datas qu’ils partagent allègrement à des serveurs situés (ou non) en Europe, et parfois même sans le moindre chiffrement. En 2020, un rapport établissait que 57 % des objets connectés (IoT) présentaient une vulnérabilité de moyenne à élevée. En outre, Palo Alto Networks estimait que 98 % de tout le trafic de données de ces objets n’était pas crypté.
Quelques années plus tard, les choses se sont améliorées, mais de vraies failles demeurent. En 2024, une étude britannique a révélé que des appareils comme des friteuses à air intelligentes collectaient des données sensibles via leurs applications mobiles, parfois en demandant l’accès à l’audio des smartphones sans justification. Ces informations étaient ensuite partagées avec des entreprises tierces, notamment à l’étranger, soulevant de graves questions de confidentialité et de sécurité des utilisateurs. Les brosses à dents connectées peuvent présenter, elles aussi, des risques d’accès non autorisé aux données personnelles de l’utilisateur (habitudes et lieux de brossage, informations de santé…).
Des failles de sécurité à portée de wifi
Le plus préoccupant, ce n’est pas tant la collecte que la manière dont ces données sont transmises. En 2023, une équipe de chercheurs de l’université de Cambridge a montré que plus d’un tiers des objets connectés testés n’utilisaient pas de chiffrement pour les données envoyées aux serveurs. Autrement dit, un pirate équipé d’un simple ordinateur peut intercepter les échanges, à condition d’être sur le même réseau wifi.
En 2022, lors d’une expérimentation dans son labo de recherche, un étudiant allemand a réussi à prendre le contrôle à distance d’un grille-pain connecté, puis à y injecter un virus. L’étude, intitulée Qui a laissé le grille-pain intelligent pirater la maison ?, détaille une démonstration de piratage sur une série d’appareils connectés domestiques… Tout ça pour que vous puissiez faire cuire un toast « légèrement grillé » depuis votre smartphone en renseignant le type de pain inséré plutôt que de faire quelques pas et de simplement tourner une molette sur le grille-pain…
Un piratage simple… Des conséquences qui pourraient être graves
En raison de la très faible sécurisation de ces objets connectés, ces appareils sont devenus de véritables chevaux de Troie, à la maison comme au bureau. Pour faire simple, une personne versée en informatique peut utiliser une technique de scan de ports IP puis exploiter une faille informatique (par exemple, une faille de sécurité Samba sur Ubuntu permettait il n’y a pas si longtemps d’exécuter du code à distance sur un serveur).
Une fois le système d’exploitation infiltré, il devient alors possible d’infiltrer également des ordinateurs tournant sous Windows 11, d’y installer des enregistreurs de frappe pour récupérer des mots de passe ou encore les informations de cartes de crédit. À partir de là, il ne reste plus au pirate que d’accéder à vos données critiques, à vos comptes bancaires, de rerouter le versement de factures, de salaires, etc.
La donnée domestique : nouvel eldorado du marketing
Sans aller jusqu’à cette version poussée du hacking IoT, on peut se demander pourquoi les données de nos cuisines et de nos salles de bain ont une telle importance ? Parce que la donnée est monétisable. Selon une enquête de Mozilla Foundation (2022), les fabricants intègrent souvent des modules tiers dans les applis liées aux objets connectés. Résultat : vos horaires de réveil ou votre fréquence d’utilisation deviennent de précieuses informations pour des partenaires publicitaires. Sans parler des objets conversationnels dotés de micros…
Le hic est que ces données peuvent parfois être revendues à des courtiers sans que l’utilisateur en ait clairement conscience. Un vrai flou juridique entoure encore la frontière entre données techniques, données personnelles et données comportementales.
Peut-on échapper à cette surveillance ?
Pas besoin de jeter tous vos objets connectés à la benne ! Quelques réflexes peuvent limiter la casse :
- se méfier des marques peu connues ou des objets très bon marché ;
- vérifier si l’appareil est certifié (label ETSI EN 303 645 en Europe, par exemple) ;
- créer un réseau wifi séparé pour les objets connectés, ou utiliser un VPN ;
- ne donner que les accès réellement nécessaires aux IoT (pas besoin de scanner tout le réseau interne pour la brosse à dent connectée, par exemple) ;
- désactiver les connexions à distance quand elles ne sont pas nécessaires.
Et surtout : lire les conditions générales… ou au moins les autorisations demandées par l’application lors de l’installation. Cela ne vous prendra que deux minutes et pourrait bien éviter quelques mauvaises surprises.
Face à ces dérives, l’Union européenne a réagi. Le Cyber Resilience Act, adopté en mars 2024, impose désormais aux fabricants de garantir un niveau minimal de sécurité informatique pour tous les produits connectés vendus dans l’Union européenne. Un changement majeur, qui entrera pleinement en vigueur en 2027, avec des sanctions à la clé. D’ici là, la méfiance est de mise.
