Il est possible de pirater une maison intelligente, mais vous n’avez probablement rien à craindre.

Hibou Gourou

La scopophobie est la peur des caméras de sécurité : la crainte que derrière leurs petites lentilles perçantes, quelqu'un vous observe. Si cela vous préoccupe, vous n'êtes pas seul ; selon des sondages, jusqu'à une personne sur trois craint que sa maison connectée soit victime de pirates informatiques malveillants. Cette peur est un sujet de discussion depuis les débuts de la maison connectée, et pour cause.

Des acteurs malveillants ont déjà exploité les systèmes de domotique. En 2021, la Corée du Sud a connu l'un des piratages de domotique les plus audacieux de l'histoire , avec plus de 700 appartements piratés. En 2023, une caméra Ring a été piratée et utilisée pour proférer des commentaires inappropriés à l'encontre du propriétaire.

Des incidents comme celui-ci étaient plus fréquents aux débuts de la domotique. Depuis, des entreprises comme Google, Ring et d'autres ont placé la sécurité au cœur de leurs nouveaux produits. Si cette scène de piratage de Scream (2022) est techniquement possible, elle est également improbable .

Caméra de sécurité intelligente pour garage Chamberlain myQ
Chambellan

Mais dans ce contexte, une nouvelle source de risque potentielle est apparue : l'intelligence artificielle. La semaine dernière, un nouveau rapport a montré comment des chercheurs ont utilisé Google Gemini pour prendre le contrôle d'appareils domestiques connectés grâce à un code malveillant dissimulé dans une invitation Google Agenda.

Cet événement a marqué l'une des rares fois (et peut-être la première) que cette technique a été utilisée dans une attaque réelle. Surnommée « promptware », cette méthode d'attaque a suscité des inquiétudes quant à l'utilisation de l'intelligence artificielle dans le cadre de la domotique. Cependant, nombre de ces inquiétudes sont prises hors contexte et hors de propos. Est-ce un risque ? Absolument. Est-ce que cela risque de vous arriver ?

Nous allons le dire ainsi : si c’est le cas, vous devriez acheter un billet de loterie.

Qu'est-ce qu'un « promptware » ?

Ce piratage spécifique a été réalisé via une attaque par injection rapide. L'attaque dissimulait des instructions dans une alerte Google Agenda, déguisée en invitation banale. Son but était de rester inactive jusqu'à ce qu'un utilisateur demande à Gemini de résumer son emploi du temps de la journée, puis de se déclencher en réponse à une réponse banale comme « merci » ou « bien sûr ».

Une fois activées, les instructions déclenchaient différents appareils dans la maison. Il s'agissait d'une démonstration de faisabilité ; une attaque réelle serait probablement moins visible, mais pourrait donner accès à des appareils intérieurs comme des caméras et des enceintes, ou ouvrir une porte dérobée pour accéder aux informations stockées sur ces appareils.

Commandes d'éclairage sur le Next Hub Max.
Phil Nickinson / Tendances numériques

Ce qui rend les promptwares encore plus dangereux, c'est que les pare-feu traditionnels, les logiciels antivirus et autres méthodes éprouvées n'offrent aucune protection contre eux. En général, les logiciels de sécurité ne sont pas conçus pour se protéger contre ce mélange unique d'automatisation et d'ingénierie sociale.

L'ingénierie sociale elle-même est devenue une menace bien plus importante ces dernières années. Pour ceux qui ne connaissent pas ce terme, l'ingénierie sociale désigne le recours à la tromperie pour manipuler une personne et l'amener à révéler des informations privées et/ou personnelles. Avez-vous déjà reçu une demande d'ami sur Facebook provenant d'un profil manifestement faux ? C'est une première étape courante. En créant un sentiment de confiance grâce à un visage familier et en utilisant la nature déconnectée d'Internet comme intermédiaire, les acteurs malveillants peuvent s'attaquer à des cibles vulnérables.

Bien que l'utilisation de Gemini pour contrôler votre maison connectée soit pratique, vous pouvez améliorer la sécurité globale de votre maison connectée en limitant l'accès à Gemini et aux autres agents d'IA. Les chercheurs à l'origine de l'étude sur le logiciel de commande suggèrent spécifiquement de limiter l'accès aux commandes de la maison connectée et aux calendriers personnels.

Quelles sont les chances réelles qu’une maison intelligente soit piratée ?

Le problème est le suivant : la plupart des tentatives de piratage ne sont pas du piratage. Il s'agit d'hameçonnage (phishing) ou d'une autre forme de violation de moindre ampleur. Se faire voler son mot de passe et l'utiliser contre soi n'est pas un piratage au sens propre du terme, et une attaque comme l'injection de données rapide utilisée par les chercheurs exige beaucoup d'efforts. La plupart des acteurs malveillants cherchent à accéder à des données personnelles pour les utiliser à des fins d'usurpation d'identité ou pour effectuer quelques achats par carte de crédit. Parfois, ces informations sont collectées puis vendues à des tiers.

Serrure intelligente Aqara U300 installée sur la porte d'entrée
Aqara

Pirater une maison connectée demande beaucoup d'efforts, surtout avec l'amélioration de la sécurité des appareils. Prendre le contrôle d'appareils pour allumer et éteindre les lumières s'apparente davantage à des farces juvéniles qu'à une tentative coordonnée de vol. Et déverrouiller la porte d'entrée de quelqu'un avec un appareil connecté, même s'il s'agit d'un moyen potentiel d'accéder à une maison, ne représente pas une menace pour le commun des mortels.

Si vous êtes riche et vivez dans une grande maison, vous pourriez avoir plus de chances d'être victime d'un vol, mais de nombreux cambriolages (environ 41 %) sont des crimes d'opportunité, et la plupart des cambrioleurs vivent relativement près des maisons dans lesquelles ils s'introduisent par effraction.

À moins que vous ne soyez riche, la plupart des passants ne viseront pas spécifiquement votre maison. Il faut donc rester discret : pas de gros téléviseurs sur le trottoir, pas de publications sur les réseaux sociaux concernant vos nouvelles acquisitions, etc.

Arlo
Arlo résistant aux intempéries

Si vous possédez une maison connectée, vous disposez probablement aussi d'un système de sécurité. Bonne nouvelle : interrogés, environ 50 % des cambrioleurs ont déclaré qu'un système de sécurité les dissuaderait de pénétrer dans leur domicile.

En réalité, rien n'arrêtera un cambrioleur déterminé, surtout lorsque la méthode la plus simple consiste à enfoncer une porte ou à briser une fenêtre. Mais comme la plupart des voleurs ciblent les cibles faciles, un système de sécurité et une domotique peuvent réellement dissuader. Votre maison connectée a plus de chances de protéger votre domicile que de le rendre menaçant.

Si vous souhaitez prendre des mesures pour protéger votre maison intelligente, nous avons de nombreux guides sur la manière de procéder.