Un ventilateur connecté à moins de 10 euros. L’objet trône sur votre table de nuit, branché depuis deux jours, sans histoire. Puis vous installez l’application obligatoire pour le piloter depuis votre téléphone, et là, la liste des permissions demandées s’affiche : localisation précise, accès au Bluetooth, identifiant réseau Wi-Fi, micrologiciel du téléphone. Pour régler la vitesse d’un ventilateur.
Ce moment de malaise ne relève pas de la paranoïa. Il pointe un problème structurel que les chercheurs en cybersécurité documentent depuis plusieurs années, et que le marché des objets connectés low-cost amplifie à grande échelle.
À retenir
- La majorité des ventilateurs connectés bon marché tournent sur la plateforme chinoise Tuya et collectent bien plus de données que nécessaire
- L’appli demande des permissions louches (localisation, micro) pour un simple ventilateur, et communique sans autorisation avec des serveurs en Chine
- Vos horaires de coucher, votre adresse IP et le modèle de votre téléphone deviennent le vrai prix payé pour cette économie de 8 euros
Ce que l’appli fait vraiment pendant que vous dormez
La grande majorité des ventilateurs, prises et ampoules connectés vendus sous des dizaines de marques anonymes partagent un point commun invisible : ils tournent sur la plateforme Tuya. Ce géant chinois de l’IoT, basé à Hangzhou, fournit sa technologie à plus de 5 000 marques dans plus de 220 pays. l’application que vous installez pour piloter votre ventilateur à 8 euros est souvent Smart Life ou une déclinaison en marque blanche, toutes hébergées sur la même infrastructure.
Des chercheurs de la société Dark3 Inc. ont observé que chaque appareil IoT examiné “communiquait avec l’infrastructure en Chine, sans autorisation” de l’utilisateur. Tuya affirme de son côté que les données des utilisateurs européens sont stockées sur des serveurs en Europe, et que la gestion des accès et le chiffrement améliorent la confidentialité. La réalité est plus nuancée : le chiffrement des communications existe, mais beaucoup de données non nécessaires au fonctionnement sont collectées, et le principe de minimisation du RGPD n’est pas respecté, sans information donnée aux utilisateurs sur les transferts vers des serveurs hors Union Européenne.
Le problème ne s’arrête pas au ventilateur lui-même. De nombreuses applications compagnons associées aux objets connectés bon marché constituent un vecteur d’attaque à part entière : certaines accèdent à de nombreuses données du téléphone, nécessitent des permissions a priori non nécessaires à leur fonctionnement, et tentent même de déployer des malwares. Votre téléphone, pas juste votre ventilateur.
Le prix cassé, c’est vous qui le payez autrement
L’équation est simple à comprendre une fois posée clairement. Plusieurs études montrent que de nombreux objets connectés collectent bien plus de données que ce qui est nécessaire à leur fonctionnement, des données qu’ils partagent avec des serveurs parfois hors d’Europe, et parfois sans le moindre chiffrement. Un ventilateur classique à 8 euros vous coûte 8 euros. Un ventilateur “connecté” à 8 euros peut vous coûter vos habitudes de sommeil, vos horaires de présence chez vous, l’adresse IP de votre réseau domestique et le modèle de votre smartphone.
Les appareils intelligents collectent une multitude d’informations sur votre environnement domestique : température, humidité, qualité de l’air, mais aussi vos habitudes de vie, heures de sommeil, présence à domicile, routines quotidiennes. Pour un ventilateur de chambre, cela se traduit très concrètement : l’heure à laquelle vous l’allumez le soir révèle votre heure de coucher. L’heure à laquelle vous l’éteignez le matin révèle votre heure de réveil. Ce n’est pas de la science-fiction, c’est la logique des données comportementales.
Certains produits sont vendus sans marquage CE, sans notice en français, sans documentation technique, ce qui rend difficile de savoir ce que l’appareil fait réellement ou comment il est censé protéger votre vie privée. Sur les modèles les moins chers, une absence totale de mesures de sécurité a été observée. Aucune mise à jour de firmware. Aucun correctif si une faille est découverte. De nombreux modèles sont commercialisés sous des dizaines de noms différents, puis la marque disparaît : plus aucun support, pas de SAV, pas de correction de bug.
Ce que vous pouvez faire avant de tout débrancher
Débrancher le ventilateur et en rester là serait la conclusion facile. Ce n’est pas la plus utile. Le vrai réflexe, c’est d’abord de vérifier les permissions avant d’accepter. On a tendance à les accepter sans les regarder, alors que certaines applications demandent des accès très loin d’être indispensables à leur bon fonctionnement. Localisation précise pour un ventilateur ? Refusé. Accès au micro ? Refusé sans hésitation.
L’autre geste concret : créer un réseau Wi-Fi dédié uniquement à vos objets connectés, séparé de votre réseau principal, et désactiver les fonctions non essentielles qui collectent des données. C’est ce qu’on appelle la segmentation réseau. Concrètement, votre ventilateur espion se retrouve dans sa propre bulle, incapable d’atteindre votre ordinateur ou votre smartphone. Cette manipulation prend dix minutes sur la plupart des box internet actuelles.
Pour garantir la sécurité de vos appareils connectés, veillez à ce qu’ils bénéficient constamment des dernières mises à jour et correctifs de sécurité. Le problème avec les objets no-name : ces mises à jour n’existent tout simplement pas. C’est là que la différence de prix entre un appareil à 8 euros et un à 40 euros prend tout son sens. Pas tant en qualité de ventilation qu’en durée de vie sécurisée du logiciel embarqué.
Pour les plus techniques, la solution radicale s’appelle Home Assistant : ce logiciel open-source permet de contrôler localement des appareils Tuya compatibles via Home Assistant, en optimisant souveraineté et sécurité sans passer par les serveurs cloud. Le ventilateur obéit toujours à votre téléphone. Mais les données ne quittent plus votre réseau domestique.
Le cadre légal se durcit, mais après vous
L’Europe n’est pas restée inactive. Le règlement impose désormais aux fabricants d’intégrer des mécanismes de sécurité dès la phase de développement, pour éviter toute faille exploitable dès la mise sur le marché. Ces nouvelles obligations sont entrées en vigueur en août 2025. Elles s’appliquent aux nouveaux produits mis sur le marché. Les millions d’appareils déjà vendus, eux, restent dans la nature.
En 2024, une opération menée par l’ANSSI a révélé des dizaines de marques de caméras “no name” piratables en quelques secondes, sans mot de passe ou avec un mot de passe universel. L’UFC-Que Choisir a testé des babyphones connectés : 70 % d’entre eux étaient vulnérables à l’espionnage ou à la prise de contrôle à distance. Le ventilateur connecté à bas prix n’est pas la menace la plus grave du foyer, mais il représente le symptôme le plus répandu : un objet que l’on n’ausculte jamais, parce qu’on ne se méfie pas d’un appareil qui fait juste du vent. Et pendant ce temps, l’appli, elle, n’arrête pas de souffler des données vers des serveurs dont on ignore l’adresse exacte.
Sources : dpo-consulting.fr | lenetexpert.fr