Le Royaume-Uni va interdire l’utilisation de mots de passe par défaut trop faciles à deviner. Une idée plutôt intéressante qui pourrait, relativement simplement, limiter le risque d’attaques et de vol de données.

« identifiant : admin » « mot de passe : password ». Si ces quelques mots vous ont fait sourire ou ont provoqué un petit pic d’angoisse, c’est que vous connaissez les dangers des mots de passe par défaut. Que ce soit une box Internet, un hub domotique ou des ampoules connectées, nombreux sont les objets connectés qui sont très mal sécurisés par défaut. Le Royaume-Uni veut faire quelque chose contre ce problème.

Un texte de loi qui va bientôt entrer en application va en effet interdire aux producteurs d’appareils électroniques de commercialiser des gadgets avec des mots de passe par défaut « trop faciles à deviner ». Fini les « 000000 » ou les « motdepasse », tous les appareils mis sur le marché britannique devront être, par défaut, munis d’un mot de passe « unique » qui ne peut pas « être réinitialisé à un quelconque réglage d’usine universel ». Une proposition assez innovante qui a pour but de réduire les risques d’attaques.

Pourquoi les mots de passe par défaut sont dangereux

Les mots de passe sont une méthode d’identification peu sécurisée. Trop courts, pas assez complexe, trop facilement devinable… Face à des options comme l’authentification biométrique ou l’utilisation d’une clé de sécurité, les mots de passe font pâle figure en termes de protection des données. Les mots de passe par défaut sont, évidemment, bien pires.

Comme l’a montré le récent top 20 des pires mots passe en France, il faut moins d’une seconde à un agresseur potentiel pour « deviner » le mot de passe « password ». Cela signifie que si vous avez un seul accessoire connecté chez vous équipé d’un mot de passe de ce type, il est extrêmement simple de s’infiltrer sur votre réseau. Une fois installé sur votre réseau local via une ampoule connectée, un thermostat intelligent ou une sonnette 2.0, un pirate peut facilement accéder à tous vos autres appareils et tenter d’aspirer vos données personnelles.

Domotique maison connectée intelligente objets
Les accessoires domotiques sont souvent trop mal sécurisés // Source : Aaron Yoo

Malheureusement, selon une enquête de l’entreprise spécialisée Symantec, « 123456 » représentait 55 % des mots de passe utilisés pour mener des attaques contre les accessoires domotiques en 2020. D’autres mots comme « admin » et « root » étaient aussi dans le top 5 des mots les plus fréquemment tentés par les pirates, preuve que la smart home est un vecteur d’attaque particulièrement efficace. Au Royaume-Uni, « 1,5 milliard de tentatives de compromission de dispositifs IoT » ont eu lieu en 2021 d’après l’administration locale.

Se reposer sur un mot de passe par défaut pour sécuriser un quelconque gadget électronique revient à penser qu’un minuscule crochet sur la porte de service empêchera quelqu’un de s’infiltrer chez vous.

Qu’est-ce qu’il est possible de faire ?

Le problème des accessoires domotiques peu chers est qu’ils sont souvent mal sécurisés et qu’ils ne demandent pas toujours de changer le mot de passe après la première installation. Changer le mot de passe de ces accessoires n’est d’ailleurs pas toujours aisé pour tout le monde. De plus, une fois installé au plafond, on ne s’imagine pas forcément que notre ampoule connectée peut être un cheval de Troie capable de faciliter le vol de nos données.

La future loi britannique est donc intéressante de ce point de vue, car elle fait porter la responsabilité sur les fabricants d’accessoires plus que sur la clientèle. En empêchant les constructeurs d’utiliser des mots de passe facilement devinables, il est possible de nettement réduire la surface d’attaque de ces objets connectés. Un mot de passe généré aléatoirement et communiqué aux clients et clientes peut être un moyen de se débarrasser de ces fameux « admin » et « password ».

En attendant que l’industrie prenne cette problématique au sérieux, le mieux à faire est encore de vérifier que le mot de passe de votre box Internet n’est pas celui employé par défaut, ou un mot trop facile à deviner. Si vous avez installé des accessoires domotiques accessibles depuis le web, assurez-vous qu’ils sont à jour et que leur accès est protégé par un mot de passe fort.

Partager sur les réseaux sociaux

La suite en vidéo