Trente attaques par jour. C’est ce que subit en moyenne un foyer français équipé d’objets connectés, selon le rapport IoT Security publié par Netgear et Bitdefender. Ce chiffre représente trois fois plus qu’en 2024. Trente tentatives d’intrusion quotidiennes, pendant que vous regardez Netflix ou faites tourner une lessive. Et la plupart du temps, vous n’en savez rien.
Quand j’ai posé la question à un spécialiste en sécurité informatique, le genre de profil qui passe ses journées à tester les défenses de grandes entreprises — sa réponse sur ce qu’il avait branché chez lui a été… déconcertante de sobriété. Pas de smart TV connectée au réseau principal. Pas d’assistant vocal dans la chambre. Et une règle d’or : tout ce qui n’a pas de raison d’être sur Internet n’y est pas. Ce n’est pas de la paranoïa. C’est une connaissance précise du terrain.
À retenir
- Un spécialiste en cybersécurité refuse délibérément les appareils connectés les plus courants
- Votre télévision, caméra ou babyphone peuvent être la porte d’entrée vers tous vos données sensibles
- Les mesures que les experts mettent en place chez eux sont étonnamment simples — et vous pouvez les copier ce soir
Le frigo connecté qui ouvre la porte à tout le reste
Les appareils connectés sont nombreux, et une fois installés, on oublie parfois même qu’ils le sont : téléviseurs, éclairage, volets, thermostat, imprimante, routeur, enceintes, streamer, sonnette vidéo, électroménager sont autant de possibles points d’entrée. Le problème n’est pas l’objet en lui-même. C’est son appartenance à un réseau commun.
Le piratage d’un simple objet connecté peut ouvrir la voie à des attaques plus graves, allant du vol de données personnelles à la prise de contrôle de votre réseau domestique. Concrètement : une caméra de surveillance bon marché compromise permet à un attaquant de remonter jusqu’à votre ordinateur portable, vos identifiants bancaires, vos échanges privés. C’est comme si la porte de la cave donnait accès au coffre-fort du salon.
Les appareils les plus souvent ciblés sont ceux liés au divertissement : les boîtiers de streaming (près de 26 %), les téléviseurs connectés (21 %) et les caméras (plus de 8 %). À elles seules, ces trois catégories regroupent plus de la moitié des vulnérabilités liées aux objets connectés. Pas les gadgets futuristes dont on imagine qu’ils seraient des cibles. Les appareils banals du salon.
Les téléviseurs, rarement mis à jour, arrivent en tête de liste. Viennent ensuite les babyphones, dont la sécurité repose trop souvent sur des réglages d’usine jamais modifiés. Les imprimantes stockent parfois des documents confidentiels en mémoire, tandis que les enceintes vocales restent à l’écoute constante de leur environnement. Un détail qui fait froid dans le dos si vous avez un babyphone dans la chambre de votre enfant : en 2019, une petite fille de 3 ans confiait à ses parents qu’une voix lui parlait dans le baby-phone vidéo installé dans sa chambre. Les parents s’aperçurent que la caméra changeait seule d’orientation. Un pirate, qui avait pris le contrôle à distance de l’objet connecté, les observait et parlait à l’enfant pour l’effrayer.
Pourquoi ces objets sont-ils si vulnérables
La réponse est économique avant d’être technique. Beaucoup de ces appareils sont conçus avec la commodité comme priorité, souvent au détriment de la sécurité. Les fabricants, pressés de commercialiser leurs produits, négligent parfois les aspects de cybersécurité, créant des vulnérabilités que les cybercriminels n’hésitent pas à exploiter.
Les fabricants d’appareils IoT ne maintiennent pas toujours leurs produits à jour avec les derniers correctifs de sécurité. Contrairement aux ordinateurs ou aux smartphones, ces appareils reçoivent rarement des mises à jour automatiques, laissant des vulnérabilités connues ouvertes pendant des mois, voire des années. Votre smartphone reçoit un patch de sécurité toutes les semaines. Votre télévision connectée, achetée il y a trois ans ? Elle tourne peut-être encore sur un firmware de 2022, truffé de failles publiquement documentées.
À cela s’ajoute une réalité embarrassante : 70 % des piratages réussis sont liés à des mots de passe trop simples. Les mots de passe générés par défaut par les fabricants sont généralement trop faibles : trop peu de caractères utilisés, faciles à deviner ou publiquement connus. Sur certains modèles d’entrée de gamme, le mot de passe administrateur est littéralement disponible sur des forums publics. Il suffit alors pour un attaquant de retrouver les identifiants définis par le constructeur, la plupart du temps le même pour chaque type d’appareil, et de se connecter à un appareil afin d’avoir accès au réseau complet.
L’un des enseignements du rapport Netgear-Bitdefender concerne la nature des attaques, qui seraient de plus en plus “automatisées et industrialisées”. Oubliez le hacker en hoodie qui vous cible personnellement. Des scripts scannent Internet en permanence, cherchant des appareils avec des credentials par défaut. Votre box internet, votre caméra, votre routeur Wi-Fi : ils sont tous interrogés des dizaines de fois par jour.
Ce que font (vraiment) les experts chez eux
La première mesure concrète, celle que recommandent systématiquement les spécialistes, est la segmentation du réseau. De nombreux routeurs modernes permettent de créer un réseau invité, distinct du réseau principal utilisé pour les ordinateurs ou smartphones. Cela permet d’isoler les appareils IoT, limitant les dégâts en cas de compromission. En pratique : votre télévision connectée, votre aspirateur robot et votre thermostat intelligent n’ont aucune raison d’être sur le même réseau que votre ordinateur de travail.
Connecter tous les objets sur le même réseau Wi-Fi est une erreur classique : si un seul est piraté, tout le réseau est compromis. C’est l’équivalent d’avoir une seule clé pour votre appartement, votre voiture et votre bureau. La perte de l’une compromet tout le reste.
Deuxième réflexe : changer immédiatement le mot de passe par défaut de chaque nouvel appareil. Changer le mot de passe par défaut dès la première utilisation et utiliser un mot de passe suffisamment long et complexe est indispensable pour sécuriser un objet connecté. Et activer les mises à jour automatiques dès que possible. Si cela est possible, il faut configurer l’objet connecté pour que les mises à jour se téléchargent et s’installent automatiquement.
Troisième point, souvent négligé : le choix du matériel lui-même. Éviter les objets à très bas prix sans documentation est une précaution de base, ces modèles étant souvent peu sécurisés. Produits en masse avec des temps de mise sur le marché courts, les objets connectés sont sujets à des défaillances en termes de sécurité. Leurs ressources étant limitées, une fois le système d’exploitation et les différentes applications installées, il leur reste peu de mémoire pour un logiciel de sécurité. La sécurité doit souvent être externalisée, ce qui entraîne une vulnérabilité notoire de ces objets. L’économie de 30 euros sur une caméra sans marque connue peut se payer bien plus cher.
Le cadre réglementaire change la donne (mais pas encore assez vite)
Bonne nouvelle du côté législatif : depuis août 2025, les appareils connectés vendus dans l’Union européenne doivent respecter des normes de sécurité strictes. Ces règles imposent une protection du firmware, une authentification robuste, ainsi que des mises à jour automatiques pendant au moins cinq ans. Pour les appareils achetés depuis cette date, le niveau de protection de base est donc bien plus élevé qu’avant.
Le problème : des millions d’appareils achetés avant cette réglementation continuent de tourner dans les foyers français. En 2025, plus de 4,5 millions de foyers français étaient équipés de dispositifs intelligents. Parmi eux, combien font tourner des équipements de 2021 ou 2022, sans correctif depuis des années ? La réglementation ne rétroagit pas.
Mon conseil personnel, après avoir creusé le sujet : faites l’inventaire de ce qui est branché chez vous ce soir. Pas pour débrancher tout en bloc, mais pour identifier ce qui n’a pas reçu de mise à jour depuis plus d’un an. C’est là que se trouve, statistiquement, votre maillon faible. Et si vous avez encore un babyphone avec le mot de passe d’usine, priorité absolue.
Sources : lenetexpert.fr | infos-it.fr