La maison connectée: histoire de bergerie et de loups modernes

Article
Par · 24/10/2014

L’enquête internationale réalisée à la demande de Fortinet (voir la méthodologie en fin d’article), société spécialisée dans les solutions de sécurité réseau, avait notamment pour objectif d’identifier les comportements et la perception du risque associé à l’installation d’objets connectés au sein d’une habitation.

Parmi les risques majeurs identifiés par les propriétaires de ces maisons connectées – peu ou prou technophies, on relève dans l’ordre:

  • la perte ou la “fuite” de données – 69% des personnes interrogées se disent “assez à très préocupées” à ce sujet
  • les logiciels malveillants
  • les accès non autorisés
  • les risques pour la confidentialité des données (personnelles) collectées

Source: Kaspersky

Dans ce dernier registre, même s’il y a quelques variations de pourcentages selon les pays, une majorité des personnes sondées disent ne pas avoir confiance dans la manière dont les données collectées sont ou seront utilisées. Le score est de 50% chez les particuliers interrogés dans les 4 pays de la zone EMEA (France, Allemagne, Italie, Royaume-Uni) mais atteint 63% en Inde.

Dans le même chapitre, 63% des répondants déclarent qu’ils se sentiraient “totalement trahis et très irrités au point de porter plainte” s’ils devaient s’apercevoir que des données ont été collectées “secrètement ou anonymement”. A noter que les Américains figurent parmi ceux qui réagissent le plus dans ce sens – ce qui semble indiquer une évolution dans les mentalités. En France, deux-tiers des personnes interrogées émettent la même affirmation.

63% des participants à l’étude se sentiraient “totalement trahis et très irrités au point de porter plainte” s’ils devaient s’apercevoir que des données ont été collectées “secrètement ou anonymement”.

Cette prise de conscience à un résultat bien tangible: une (petite) majorité (66%, tous pays confondus) disent vouloir restreindre l’accès à ces données à eux-mêmes et à des personnes (ou organismes) qu’ils auraient préalablement désignés. Parmi ces tiers, les fournisseurs d’accès Internet (ISP) mais aussi le développeur de la solution ou un organisme pouvant défendre les intérêts des utilisateurs. En France, 23% des personnes interrogées octroieraient un accès à leur ISP; 20% feraient de même vis-à-vis des fabricants des appareils connectés.

Et en Belgique?

L’enquête de Fortinet n’a pas interrogé d’utilisateur belge mais, selon Filip Savat, l’expérience de terrain qu’a sa société tend à démontrer que “les gens sont plus que conscients des problèmes de sécurité de leurs données. Cette prise de conscience s’étendra rapidement aux équipements domestiques connectés.”

Pas de différence de “culture”, par conséquent, en matière de conception de la vie privée? “La culture de vie privée n’est pas différente en Belgique. Mais il faut savoir ce que l’on entend réellement par vie privée… Comparée à d’autres pays d’Europe, la Belgique se rapproche sans doute plus, en la matière, de l’Allemagne. L’actualité rend d’ailleurs les Belges plus prudents. Les webcams sont de plus en plus oblitérées, par exemple. Autre élément déclencheur: le fait que les médias sociaux dépassent souvent les bornes en matière de vie privée en changeant sans cesse les règles. Nous sommes actuellement dans une phase de croissance de la prise de conscience.”

Responsabilités

Qui pour réglementer la collecte des données?

Dans l’étude Fortinet, 41% des personnes sondées (55% en France et 39% pour la moyenne des pays EMEA) estiment que la définition d’une réglementation incombe à leurs autorités gouvernementales, alors que 11% préféreraient voir une organisation indépendante avoir la main en la matière.

En cas de vulnérabilité détectée au niveau de l’appareil connecté, 48% des personnes sondées estiment que c’est la responsabilité du fournisseur de procurer les correctifs et mises à jour mais 32% estiment qu’en qualité de propriétaire de l’objet connecté, la responsabilité des mises à jour leur incombe.

L’enquête n’a toutefois pas tenté d’identifier de possibles perceptions différentes selon que la “vulnérabilité” en question ait trait à une mise à jour, à l’application d’un correctif, soit d’origine fonctionnelle ou le résultat d’une attaque.

“L’enquête a clairement révélé que les gens sont très conscients des dangers et des failles touchant les données mais le sont beaucoup moins lorsqu’il s’agit de savoir pourquoi, qui en est la cause ou comment”, indique Filip Savat, directeur général de la filiale BeLux de Fortinet.

Filip Savat, Fortinet BeLux: “Les gens commencent à être conscients des risques mais encore insuffisamment pour se rendre compte qu’une solution de sécurité leur reviendrait moins cher que l’achat d’une nouvelle tablette ou d’un smartphone supplémentaire.”

La prise de conscience est donc encore passive, alimentée d’ailleurs par des informations surgissant de temps à autre dans les médias (telle la divulgation récente de photos dénudées de personnes célèbres). “Mais lorsqu’il s’agit de réfléchir au problème, les gens se répartissent en trois groupes quasi égaux: ceux qui s’en préoccupent réellement, ceux qui sont “modérément” conscients du problème et se disent ouverts à une réflexion, et ceux qui sont indifférents. Selon la nature de la question posée, la taille de ces trois catégories varie légèrement. C’était déjà le cas voilà 5 ou 10 ans. Mais la proportion de ces groupes était différente: 15% de gens parfaitement conscients du problème; 30% prêts à y réfléchir; et 55% d’indifférents.”

Preuve que la prise de conscience progresse.

“Aux yeux de Fortinet, il est évident que l’utilisateur domestique peut être considéré comme un client PME, en ce sens que tous deux disposent d’un réseau. Mais l’utilisateur domestique en est encore moins conscient que la PME. Les besoins en sécurisation sont quasi identiques pour l’un comme pour l’autre. Voilà pourquoi l’enquête a aussi demandé aux participants qui, selon eux, devaient assumer la sécurité ou par quel moyen: fournisseur, fabricant? principe du “clean pipe” (connexion sécurisée au-delà des murs de la maison) ou équipement domestique (appareil connecté, routeur domestique…)?

Une solution de type “clean pipe” peut être une valeur ajoutée, tout ce qui arrive chez l’ISP étant passé au crible par un MSSP (managed security service provider) mais j’estime néanmoins qu’une sécurité locale est, elle aussi, source de valeur ajoutée.

Il est clair que les gens commencent à être conscients des risques et dangers mais encore insuffisamment pour se rendre compte qu’une solution de sécurité leur reviendrait moins cher que l’achat d’une nouvelle tablette ou d’un smartphone supplémentaire. Chaque membre d’une famille dispose souvent d’un équipement mobile onéreux mais un soupçon de sécurité au sein du foyer…” Filip Savat laisse, de manière éloquent, sa phrase en suspens.

Stéphane Pitavy, directeur de Fortinet France: “les grands gagnants de la maison connectée seront les fournisseurs qui pourront offrir un équilibre entre, d’une part, la sécurité et la confidentialité des données personnelles et, d’autre part, le prix et les fonctionnalités.”

Il est une question que l’étude de Fortinet n’a pas posée. A savoir: le lieu (pays) où les données sont conservées et traitées. “Les sociétés, en la matière, notamment depuis l’épisode NSA, s’y intéressent nettement plus que les particuliers. Le problème vient du fait qu’il est très difficile à l’utilisateur domestique de démêler l’écheveau et de déterminer où ses données sont stockées. Les gens sont déjà contents lorsque les solutions de synchronisation de tous leurs appareils mobiles, via le cloud, marchent correctement. Ils se préoccupent donc beaucoup moins de l’endroit où sont stockées les données. A titre personnel, je crois que les choses évolueront rapidement lorsque les média relateront des exemples concrets de vols de données de Monsieur Tout le Monde.”

Méthodologie

L’étude internationale, réalisée en juin 2014 par GMI, division de Lightspeed Research, pour le compte de Fortinet, société spécialisée dans les solutions de sécurité réseau, a interrogé 1.801 personnes dans 11 pays – France, Allemagne, Royaume-Uni, Italie, Etats-Unis, Chine, Inde, Australie, Thaïlande, Malaisie, Afrique du Sud.

Profil: des propriétaires de biens immobiliers et des technophiles adeptes de la domotique nouvelle génération. [ Retour au texte ]