Ces appareils bientôt obligatoires dans nos foyers ne sont pas sécurisés - les experts s'inquiètent
Pour aider les Français à maîtriser leurs dépenses d'énergie, le Gouvernement va rendre ces accessoires obligatoires dans les foyers. Mais une étude récente révèle qu'ils souffrent de nombreuses failles de sécurité.
Le thermostat connecté a le vent en poupe en ce moment ! Cet outil, qui est directement relié au chauffage, s'ajuste tout seul en fonction de la température ambiante, de l'heure de la journée ou de son paramétrage, et ce, pièce par pièce. On peut même contrôler le dispositif à distance via son smartphone, et donc régler la température du logement en étant à l'extérieur. Les consommations en énergie sont ainsi plus proches des besoins réels. Ils sont donc très appréciés des consommateurs, ce qui pousse le marché à proposer une gamme croissante d'appareils.
Afin de lutter contre la surconsommation électrique engendrée par le chauffage des foyers, le Gouvernement a décidé que tous les ménages devront être équipés d'un dispositif de régulation programmable d'ici au 1er janvier 2027, comme le stipule le décret n° 2023-444 paru au Journal officiel le 7 juin 2023 – il ne s'agit donc pas nécessairement d'un thermostat connecté, mais d'un dispositif possédant au minimum les fonctions basiques de programmation de la température.
Mais installer ce type d'appareils n'est pas sans risque. L'Office fédéral de la sécurité de l'information (BSI) allemand a examiné de plus près dix modèles de thermostats de chauffage intelligents, parmi lesquels des noms bien connus tels que Bosch, Tado et AVM (Fritzbox). Il en ressort que la sécurité informatique passe souvent au second plan lors du développement de produits.
Cela s'accompagne d'une sécurité dès la conception manquante ou inadéquate. De nombreux produits présentent des vulnérabilités qui pourraient permettre à des attaquants d'accéder aux appareils ou d'intercepter les données des utilisateurs. Car, étant donné que ces appareils sont souvent mis en réseau avec d'autres composants de maison intelligente, ils pourraient servir de passerelle aux pirates.
Ainsi, trois des appareils testés reposaient sur des solutions dites en marque blanche, dont les normes de sécurité ne sont pas toujours transparentes. Il a également été découvert que plusieurs produits ne stockent pas de manière sécurisée des données sensibles telles que des mots de passe. Deux applications iOS, qui permettent de piloter le dispositif, ont ainsi transmis des informations sensibles sans cryptage. Les chercheurs ont aussi découvert que certains thermostats téléchargent des mises à jour sans mécanismes de protection suffisants. Certains appareils manquaient notamment de mesures de sécurité de base, telles que la protection contre les attaques sur le micrologiciel.
Malgré les lacunes identifiées, le BSI souligne que la plupart des vulnérabilités trouvées ne constituent pas une menace immédiate pour les consommateurs. Néanmoins, l'autorité recommande vivement aux fabricants de renforcer leurs mesures de sécurité et de mettre en œuvre de manière plus cohérente les normes établies. Espérons qu'ils revoient rapidement leur copie !