La protection de la vie privée et la sécurité des montres connectées présentent des risques semblables à ceux de nombreux autres appareils connectés et de l'IdO. Bien que les marques populaires aient mis en place certaines protections, il existe des vulnérabilités connues qui peuvent avoir une incidence sur votre montre connectée. Les montres connectées étant conçues pour tous les âges, il est tout à fait naturel de s'interroger sur les dangers qui menacent votre vie privée et vos données (ou celles de vos proches). Après tout, les menaces liées aux montres connectées ne proviennent pas de tous les côtés (encore !), mais cela ne signifie pas non plus que les données de votre montre connectée ne sont pas en parfaite sécurité.
Le côté pratique de ces produits peut parfois faciliter l'accès à vos données pour les pirates informatiques. Toutefois, malgré ces inquiétudes, il existe des moyens de vous protéger.
Les risques de sécurité liés aux montres connectées
Les montres connectées ne sont que l'un des nombreux produits technologiques qui contribuent à l'Internet des objets (IdO) et, comme ce marché continue de se développer, ces appareils seront de plus en plus vulnérables aux cyberattaques. Grâce à l'IdO, de nombreuses activités sont devenues plus faciles grâce à des appareils capables de « parler » entre eux. Cependant, cet échange de données est précieux et sera inévitablement une cible pour les pirates informatiques…
L'absence de mesures de contrôle de la sécurité des consommateurs de l'IdO
La plupart des préoccupations concernant la protection de la vie privée dans le contexte des montres connectées sont liées aux dangers des technologies connectées et à l'absence de normes de cybersécurité concernant l'IdO. Comme de plus en plus d'appareils similaires se connectent à Internet (et entre eux), même les interrupteurs de votre maison intelligente, le besoin de cybersécurité se fera sentir.
Les montres font partie des nombreux types de produits de technologie intelligente qui se retrouvent dans une « zone grise » sur le plan de la sécurité, où personne ne classe les produits de l'IdO en fonction de la qualité de la protection ou de la sécurité offertes aux utilisateurs. En fait, en l'absence d'une autorité centrale chargée de classer les appareils de l'IdO en fonction de leur sécurité, la plupart des consommateurs n'ont aucune idée du niveau de sécurité offert par leurs montres. Il n'y a donc aucune garantie que votre montre puisse vous protéger contre les méthodes actuelles de cyberattaque.
Les données de votre montre connectée sont-elles divulguées ?
Les données des montres connectées peuvent en dire long à un escroc sur vous et vos activités. Toutes les informations collectées, envoyées et reçues par ces appareils deviennent des éléments parfaits pour détourner votre identité et votre vie. Toutefois, cela ne signifie pas que vous devez renoncer à votre montre connectée. Au contraire, vous devriez apprendre à mieux connaître la manière dont vos données sont traitées par le fabricant de la montre.
Collecte de données
Les montres connectées collectent des tonnes d'informations personnalisées sur vous et les transmettent par le biais de connexions, comme Bluetooth et Internet. Votre position GPS, le suivi de vos mouvements, vos transactions par carte de crédit et votre calendrier, considérés séparément, peuvent sembler relativement sûrs. Mais une fois qu'ils sont associés, ces détails peuvent révéler vos codes PIN de distributeurs automatiques, vos mots de passe, votre routine quotidienne et bien plus encore. En théorie, si votre fabricant utilise des services internes centralisés pour stocker et traiter vos données, une seule atteinte à la sécurité de l'entreprise pourrait vous exposer au vol de données.
Collecte de données
Les données des utilisateurs compilées sur ces appareils sont envoyées par votre fournisseur de services à des tiers. Ces opérations ne sont pas nécessairement malveillantes, car elles aident les fournisseurs à stocker, à traiter et à analyser les données afin de vous offrir une meilleure expérience.
Le piège : ces données peuvent également être utilisées par certains tiers dans le but de créer des profils publicitaires sur vous. En outre, ces données peuvent être transmises à de nombreuses entreprises différentes, ce qui crée de nouveaux points d'attaque permettant de porter atteinte à votre vie privée. Néanmoins, il convient de rappeler que toutes les marques de montres connectées ne traitent pas vos données de la même manière. Vous devrez donc vous renseigner sur les politiques de vos fabricants en matière de collecte de données.
Les montres connectées peuvent-elles être piratées ?
Détrompez-vous : la sécurité des smartphones présente des points faibles. En fait, ces appareils ont déjà fait l'objet de quelques tentatives d'attaque. Cependant, si les montres connectées n'ont pas encore fait l'objet de nombreuses violations majeures, les chapeaux blancs (également appelés « bons » pirates, c'est-à-dire ceux qui aident les entreprises à détecter les faiblesses de leurs produits/programmes/logiciels) ont permis de révéler certaines lacunes en matière de sécurité.
Phishing
Le phishing peut se produire si vous téléchargez une application frauduleuse et y introduisez des informations personnelles. Ces applications sont plus courantes dans les boutiques d'applications non officielles, mais ne sont pas totalement absentes des boutiques d'application de Google et d'Apple. Ces applications factices vous demandent de vous connecter à votre compte Google, puis un faux formulaire récupère vos identifiants, ce qui compromet votre propre compte sans que vous y consentiez.
Bluetooth Low Energy
La technologie Bluetooth Low Energy permet d'associer votre montre connectée à votre téléphone, à vos écouteurs et à d'autres appareils. Cependant, le chiffrement des données par Bluetooth présente des vulnérabilités en raison de la complexité de ses protocoles. En raison d'un chiffrement des données peu efficace, un criminel peut accéder de force à votre connexion avec un minimum d'effort (malheureusement, la technologie Bluetooth est une fonctionnalité de connexion importante sur les appareils qui fonctionnent principalement sans fil, comme les montres connectées).
Accéléromètre
Les données de l'accéléromètre permettent à votre montre connectée de suivre les mouvements, et ces données sont utilisées par des fonctionnalités relatives à la santé et à la forme physique, comme le nombre de pas effectués.
Ces données de l'accéléromètre peuvent également être analysées pour révéler des mots de passe et des numéros de cartes de crédit. Les tendances des données relatives aux mouvements répétitifs peuvent être utilisées pour déterminer les mouvements de frappe au clavier de l'ordinateur qui reproduisent vos identifiants. Certes, cela demande beaucoup de travail, ce qui réduit la probabilité que cette méthode de piratage soit utilisée, mais c'est possible. En fait, si les profits sont suffisamment importants, les cybercriminels peuvent choisir des cibles de plus grande valeur pour appliquer cette approche.
Mots de passe par défaut du fabricant
Les mots de passe par défaut sont un outil technique d'arrière-plan utilisé pour accéder aux appareils connectés. Comme ceux-ci restent inchangés après que vous avez emporté ces appareils chez vous, un pirate informatique peut facilement trouver votre mot de passe en ligne ou acheter ces mots de passe par défaut sur le dark Web.
Pour empêcher cet accès facile, les consommateurs doivent d'abord être conscients de son existence.
Habituellement, les fabricants enfouissent les instructions relatives au changement de mot de passe dans des manuels techniques qu'un utilisateur ne lit jamais. Il vous faudra parfois contacter directement l'entreprise pour mettre à jour correctement votre mot de passe. Toutefois, certains propriétaires qui ont acheté des montres connectées moins chères ne parviennent même pas à entrer en contact avec le fabricant d'origine.
Les produits en ligne bon marché sont généralement achetés en vrac et commercialisés sous une nouvelle marque par des tonnes de distributeurs secondaires. De nombreuses montres pour enfants sont vendues de cette manière, ce qui représente une menace majeure pour la sécurité. C'est pourquoi il est préférable de n'acheter des montres connectées qu'auprès de marques fiables et connues, comme Apple, Fitbit ou Garmin, etc.
Reconfiguration par message texte
On a découvert que certaines montres connectées pour enfants pouvaient être piratées simplement en leur envoyant un message texte. Grâce à des messages textuels particuliers, certaines montres peuvent être reprogrammées au bénéfice du pirate informatique. Cette méthode permet d'associer la montre au téléphone du criminel, ce qui lui donne plus de contrôle et un meilleur accès à l'appareil. Le pirate informatique peut alors suivre la montre grâce au GPS, et il peut même appeler l'utilisateur.
Bien que cette découverte ait été faite sur des modèles bas de gamme pour enfants, de nombreuses autres montres connectées moins chères peuvent présenter des vulnérabilités semblables. En effet, lorsqu'ils mettent au point un produit d'entrée de gamme, les fabricants de produits bon marché n'accordent généralement pas beaucoup d'importance à la sécurité et préfèrent se concentrer sur la convivialité. En revanche, les marques haut de gamme réputées, comme Apple, assument plus de responsabilités, mais se heurtent encore souvent à ce débat opposant commodité et sécurité.
Ces préoccupations en matière de sécurité ont poussé les fabricants à mettre à niveau leurs produits en mettant davantage l'accent sur le chiffrement et sur la protection contre les logiciels malveillants des boutiques d'applications. Toutefois, en raison de l'absence de normes de l'industrie, il est impossible de garantir que tous les produit seront correctement protégés.
Comment protéger les données de votre montre connectée
Compte tenu de l'absence de protection des consommateurs, vous devrez continuer à faire preuve de prudence lorsque vous utiliserez des montres connectées. Vous pouvez commencer à limiter vos risques simplement en utilisant les fonctionnalités existantes de protection de la vie privée des montres connectées. Le reste de votre protection revient à être conscient de ce que vous connectez à votre montre.
Les paramètres de sécurité de l'appareil
Bloquez les associations non autorisées grâce à la version du paramètre Verrouillage d'activation de votre montre. Cette fonctionnalité permet d'empêcher l'accès aux montres volées. Les montres Apple Watch et Samsung Gear utilisent toutes deux cette fonctionnalité, mais cela peut varier d'une montre à l'autre.
L'authentification à deux facteurs utilise une confirmation de suivi effectuée sur un deuxième appareil pour écarter les utilisateurs indésirables. Il existe des appareils qui n'ont pas ce réglage, alors assurez-vous que votre montre l'a avant de l'acheter.
La protection par mot de passe sur l'écran de verrouillage est un autre obstacle pour les voleurs et les pirates informatiques.
Les montres connectées peuvent offrir plusieurs types de protection, il faut donc veiller à en activer le plus grand nombre possible.
Il peut s'agir de ce qui suit :
- Code PIN ou schéma pour déverrouiller l'appareil.
- Verrouillage si l'appareil est trop éloigné du téléphone.
- Détection « Verrouillage en cas d'enlèvement ».
La sécurisation de votre smartphone connecté
La protection de votre smartphone est tout aussi importante que celle de la montre elle-même. Ces deux appareils fonctionnent souvent ensemble, et cet échange de données peut vous rendre vulnérable aux piratages.
N'utilisez jamais de boutiques d'applications non officielles, comme celles qui sont accessibles sur des appareils débridés ou sur le Web. Les boutiques d'applications natives vous protègent contre le téléchargement d'applications malveillantes. Cependant, faites toujours confiance à votre instinct pour toute application et renseignez-vous avant de l'installer. Même les boutiques Apple App Store et Google Play ne parviennent pas à détecter toutes les applications malveillantes.
Ne débridez pas votre téléphone, car cela vous expose à des risques de sécurité. Si vous décidez de débrider votre téléphone, cela signifie qu'il vous faudra ignorer les mises à jour du système d'exploitation. Comme il est impossible de maintenir votre téléphone débridé et de garder le système d'exploitation à jour, vous ne bénéficierez pas des derniers correctifs de sécurité. De plus, les écosystèmes d'applications débridées peuvent être remplis d'applications dangereuses qui ne sont jamais vérifiées ni supprimées.
Maintenez votre appareil à jour avec les dernières versions du SE et des applications. Comme indiqué ci-dessus, les mises à jour sont accompagnées de correctifs de sécurité essentiels. Si vous reportez les mises à jour, vous risquez d'être victime d'attaques faciles à éviter, alors effectuez les mises à jour le plus rapidement possible. Veillez également à supprimer les applications qui n'ont pas été mises à jour depuis des années. Les anciens codes de programmation utilisés pour créer des applications représentent une cible fréquente de la cybercriminalité.
Utilisez une connexion de réseau privé virtuel (VPN) pour chiffrer la connexion Internet de votre smartphone. Comme vos données sont illisibles aux regards indiscrets, vous pouvez vous connecter en toute sécurité aux réseaux Wi-Fi publics. Un autre avantage est que certains de ces fournisseurs de services, comme Kaspersky VPN Secure Connection, proposent également des forfaits incluant une protection contre les virus et les logiciels malveillants.
Le contrôle intelligent du domicile
Ne connectez pas tous vos appareils connectés à votre montre. Les pirates informatiques pourraient cibler les montres connectées et les utiliser comme un porte-clés pour accéder à vos appareils pour maison intelligente. Comme quelqu'un pourrait vous voler vos « clés » par le biais d'Internet, vous pourriez envisager de laisser quelques clés hors du porte-clés (pour ainsi dire). Par exemple, la sécurité intelligente de votre domicile (serrures de porte, caméras de sécurité, etc.) pourrait faire de vous une cible facile de cambriolage.
Configurez le réseau Wi-Fi invité et essayez de garder votre montre hors du réseau principal du domicile. Isolez votre montre connectée et tout appareil invité des appareils sécurisés du domicile sur le réseau principal. Les appareils mobiles qui se connectent à des réseaux Wi-Fi publics ou à d'autres appareils hors domicile sont plus susceptibles d'être compromis.
Supprimez les appareils inutilisés ou obsolètes de votre réseau domestique. Toute technologie non utilisée pourrait ne pas disposer de mises à jour logicielles importantes, ce qui est néfaste pour votre sécurité. Vous pouvez envisager de mettre à jour vos produits intelligents, mais les anciens modèles sont plus susceptibles de ne pas être pris en charge.
Mettez à jour tous les appareils utilisés sur votre réseau. On ne le dira jamais assez : les correctifs de sécurité sont essentiels. Assurez-vous de charger tous vos appareils, même vos téléviseurs intelligents, avec les derniers firmwares. S'ils ne peuvent pas être mis à jour, vous pouvez envisager de remplacer l'appareil par un modèle plus récent ou de le retirer de votre réseau.
Modifiez les mots de passe par défaut sur les appareils connectés. L'accès au développement technique de votre appareil peut se faire via un ensemble d'identifiants par défaut. Vous trouverez peut-être des instructions dans le manuel technique de votre appareil. Sinon, contactez votre fabricant et demandez-lui de vous indiquer la procédure à suivre pour modifier ces identifiants.
Les mots de passe du routeur et du modem de votre réseau comptent parmi les mots de passe qu'il est le plus important de modifier. Assurez-vous que vos mots de passe sont extrêmement forts et stockez-les en toute sécurité dans un gestionnaire de mots de passe, comme Kaspersky Password Manager.
Les meilleures pratiques pour la sécurité des données des montres connectées
Achetez des marques de confiance sur le marché des montres connectées. Les produits de grande marque sont moins susceptibles de faire des économies sur la sécurité. La réputation de la marque s'accompagne d'une responsabilité qu'une marque inconnue et bon marché n'a généralement pas.
Surveillez les avertissements d'un appareil compromis. Une activité étrange de l'appareil peut indiquer la présence d'un code malveillant sur votre montre connectée ou sur un autre appareil. La collecte, le suivi et l'envoi de vos données personnelles consomment une quantité importante de données et sollicitent fortement la batterie, alors gardez l'œil ouvert.
Limitez les autorisations des applications. Les services de localisation et autres sont utilisés par les pirates informatiques, mais vous pouvez bloquer cet accès. Les applications des écosystèmes Android et Apple doivent généralement demander votre autorisation. Toutes les applications n'ont pas besoin de ces fonctionnalités, alors choisissez-les au cas par cas. Il est plus prudent d'accorder moins d'autorisations. Vous pouvez toujours activer des autorisations plus tard si nécessaire, mais vous ne pouvez jamais rattraper une fuite de données.
En général, il faut éviter d'associer trop d'activités personnelles aux montres connectées tant que des normes de sécurité n'auront pas été fixées pour ce genre d'appareils. Bien que peu probable pour de nombreux utilisateurs, c'est potentiellement la meilleure solution pour assurer la sécurité et la protection de la vie privée dans le cadre de l'utilisation d'une montre connectée.
Si vos données sont compromises, vous devriez déjà disposer d'une solution de sécurité Internet fiable, comme Kaspersky Total Security. Bien que cette solution ne protège pas actuellement les montres connectées, elle assure la protection de vos PC, tablettes et smartphones.
Articles connexes :
Piratage de voiture et comment vous protéger
Que sont les logiciels espions ?
Qu'est-ce que l'usurpation d'IP ?
Les 6 principales arnaques en ligne : comment éviter de devenir une victime