Votre caméra de surveillance diffuse peut-être en direct sur un forum russe. Votre aspirateur robot connaît le plan exact de votre appartement. Et votre thermostat connecté utilise encore le mot de passe par défaut. Bienvenue dans la réalité de la maison « intelligente ».

Un marché en pleine explosion, une sécurité à la traîne

En 2025, on estime à plus de 17 milliards le nombre d’objets connectés (IoT) dans le monde, selon Statista. Caméras, ampoules, serrures, réfrigérateurs, montres : tout se connecte au Wi-Fi. Le problème, c’est que la sécurité n’est presque jamais la priorité des fabricants. L’objectif est de sortir un produit pas cher, vite, avec une app qui marche. Le chiffrement et les mises à jour passent après.

Les failles les plus courantes

Mots de passe par défaut. Des milliers de caméras IP sont accessibles en ligne parce que leurs propriétaires n’ont jamais changé le mot de passe « admin/admin ». Le moteur de recherche Shodan permet de les trouver en quelques clics.

Pas de mises à jour. Beaucoup d’objets connectés ne reçoivent jamais de correctif de sécurité après leur vente. Une faille découverte en 2023 sur un modèle de caméra TP-Link restait exploitable un an plus tard sur des milliers d’appareils.

Communications non chiffrées. Certains appareils envoient des données en clair sur le réseau local. Un attaquant sur le même Wi-Fi peut intercepter les flux vidéo ou audio sans effort.

Serveurs cloud douteux. Plusieurs marques chinoises à bas prix font transiter les données par des serveurs dont la localisation et la gestion restent opaques. En 2024, une enquête de Consumer Reports a révélé que des sonnettes vidéo à 30 euros envoyaient des images vers des serveurs sans aucun chiffrement de bout en bout.

Des cas concrets qui font froid dans le dos

En mars 2024, des chercheurs de l’université de Maryland ont démontré que les aspirateurs robots Ecovacs pouvaient être piratés à distance via Bluetooth, donnant accès à la caméra et au micro de l’appareil. Ecovacs a mis plusieurs mois à corriger la faille.

Fin 2023, un botnet (réseau d’appareils piratés) constitué de 300 000 objets connectés a été utilisé pour lancer une attaque DDoS massive contre des infrastructures européennes. La majorité des appareils compromis étaient des routeurs et des caméras grand public.

Les bonnes pratiques pour limiter les dégâts

  • Changez tous les mots de passe par défaut dès l’installation. Utilisez des mots de passe uniques et complexes.
  • Créez un réseau Wi-Fi séparé pour vos objets connectés. La plupart des box récentes (Freebox, Livebox) permettent de créer un réseau invité. Vos objets IoT n’ont pas besoin d’accéder à votre PC.
  • Mettez à jour le firmware de chaque appareil dès qu’une mise à jour est disponible.
  • Privilégiez des marques reconnues qui publient des correctifs réguliers : Google Nest, Apple HomeKit, Arlo proposent un suivi correct.
  • Désactivez les fonctions inutiles : si votre caméra a un micro et que vous ne l’utilisez pas, coupez-le.
  • Vérifiez les permissions de l’app : une ampoule connectée n’a pas besoin d’accéder à vos contacts.

Le vrai problème : on ne peut pas patcher l’humain

La technique ne fait pas tout. Le plus grand risque reste l’indifférence. Tant que les utilisateurs considèrent ces objets comme des gadgets inoffensifs, les fabricants n’investiront pas dans la sécurité. En Europe, le Cyber Resilience Act (prévu pour 2027) imposera des standards de sécurité minimaux pour tous les objets connectés vendus dans l’UE. D’ici là, c’est à chacun de verrouiller sa maison, au sens numérique du terme.