Une prise USB murale connectée au Wi-Fi, branchée dans le couloir depuis trois mois. Aucun téléphone dessus ce soir-là. Un outil de capture de trafic réseau ouvert par curiosité. Et dans les logs : une connexion sortante déjà établie, vers un serveur extérieur, sans que personne n’ait rien demandé. Ce genre de découverte, de plus en plus de bricoleurs numériques la font. Et ce qu’elle révèle sur nos maisons connectées mérite qu’on s’y attarde sérieusement.
À retenir
- Votre prise USB intelligente communique régulièrement avec des serveurs externes, même inactif
- Un seul appareil compromis peut devenir le point d’entrée pour pirater tout votre réseau Wi-Fi
- La segmentation réseau est la seule protection vraiment efficace contre ces menaces invisibles
Ce que votre prise fait quand vous dormez
Une prise USB murale intelligente n’est pas qu’un chargeur. C’est un petit ordinateur embarqué, équipé d’un module Wi-Fi, d’un microprocesseur et d’un firmware qui tourne en permanence. Ces appareils se connectent au réseau Wi-Fi domestique dès l’installation, et contrairement à ce qu’on suppose intuitivement, ils ne restent pas silencieux ensuite. Les surveiller pour voir à quelle fréquence ils communiquent avec des serveurs extérieurs réserve souvent des surprises : c’est bien plus fréquent qu’on ne le pense.
Pourquoi une connexion sans rien de branché ? Plusieurs raisons légitimes existent. La première : les mises à jour de firmware. Les mises à jour OTA (Over-the-Air) permettent de modifier le logiciel embarqué à distance, en envoyant un nouveau paquet au dispositif pour installation. L’appareil vérifie périodiquement si une nouvelle version est disponible, même à 2h du matin, même sans usage actif. La seconde raison : le “heartbeat”, ce signal régulier qu’un objet connecté envoie à son serveur cloud pour confirmer qu’il est en ligne et opérationnel. C’est le pouls numérique de la prise, aussi discret qu’inévitable.
Mais voilà le problème : tout ce trafic sort de chez vous. Et de nombreux appareils domotiques captent en permanence des informations sur l’activité de l’utilisateur et les transmettent sur Internet, un observateur extérieur peut inférer des activités sensibles à l’intérieur du foyer en analysant ce trafic, même lorsque les données sont chiffrées. La destination des paquets, leur taille, leur fréquence : autant d’indices qui racontent une histoire sur votre quotidien.
Le vrai risque : pas la prise, mais ce qu’elle peut ouvrir
Les prises connectées, comme n’importe quel autre appareil relié à Internet, peuvent être vulnérables aux cyberattaques. Des pirates peuvent exploiter des failles dans le firmware, le logiciel ou les protocoles de communication pour accéder à l’appareil et au réseau. Une fois à l’intérieur, le vrai problème commence : ce n’est plus la prise elle-même qui est en jeu, c’est tout ce qui partage le même réseau Wi-Fi. L’ordinateur portable, le NAS, le téléphone.
Une faiblesse dans la connexion Wi-Fi domestique peut suffire : compromettre un seul appareil donne potentiellement accès à tous les autres sur le même réseau. C’est le scénario classique du “pivot” : l’attaquant entre par la petite porte, la prise murale à 15 euros achetée en lot, et se déplace latéralement vers les cibles réellement intéressantes. Une attaque typique démarre souvent par le repérage d’objets non mis à jour ou exposés publiquement, puis l’exploitation d’un mot de passe par défaut ou d’une faille connue, il ne faut ensuite que quelques minutes pour déployer un malware.
Le botnet Mirai, apparu en 2016, a popularisé cette technique à grande échelle. Mirai est un malware conçu pour prendre discrètement le contrôle d’appareils connectés comme des routeurs domestiques, des caméras IP et autres équipements IoT. Une fois infectés, ces appareils cessent d’être des outils pour leurs propriétaires et deviennent des bots contrôlés à distance par des attaquants. La menace n’est pas révolue : entre fin décembre 2024 et début janvier 2025, des chercheurs en sécurité ont documenté une nouvelle vague d’attaques DDoS massives à base d’IoT impliquant les malwares Mirai et Bashlite. En octobre 2024, une attaque a duré seulement 80 secondes et est partie de plus de 13 000 appareils IoT compromis. Chacun de ces appareils appartenait à quelqu’un qui n’avait rien demandé.
Les objets connectés sont également indexés publiquement. Shodan est un moteur de recherche qui scanne Internet à la recherche d’appareils connectés, les indexant selon leurs ports ouverts, leurs services et leurs métadonnées, et non selon leur contenu web. De nombreux appareils IoT sont ainsi répertoriés dans des annuaires publics comme Shodan. Concrètement : votre prise mal configurée peut apparaître dans une recherche accessible à n’importe qui, avec ses caractéristiques techniques visibles.
Isoler pour survivre : la seule vraie protection
La bonne nouvelle, c’est que le remède existe et qu’il ne coûte rien d’autre que quelques minutes de configuration. Le principe est celui de la segmentation réseau, et il est recommandé de façon unanime par les spécialistes. La segmentation réseau est la mesure de sécurité la plus efficace pour protéger un parc IoT : isoler les objets connectés dans un VLAN dédié, séparé du réseau informatique principal. Concrètement, c’est comme créer deux salles distinctes dans votre maison numérique, avec une porte verrouillée entre les deux.
Même si un capteur est compromis, l’attaquant ne peut pas atteindre les serveurs, les postes de travail ou les données sensibles. Un pare-feu correctement configuré filtre les communications entre les segments et bloque tout trafic anormal. Cette architecture en zones de confiance limite la propagation d’une attaque. La plupart des box internet récentes et des routeurs intermédiaires permettent de créer un réseau Wi-Fi invité dédié aux objets connectés, séparé du réseau principal. C’est le minimum accessible à tous. Les VLANs permettent d’aller plus loin en segmentant le réseau par tags et SSIDs, avec des règles de pare-feu explicites : autoriser l’accès à Internet pour les appareils IoT, mais rendre le réseau principal injoignable depuis eux.
Il est également recommandé d’utiliser ses objets connectés sur un réseau distinct des autres équipements informatiques de l’environnement. Le site cybermalveillance.gouv.fr l’inscrit noir sur blanc dans ses bonnes pratiques officielles. Pour aller plus loin, surveiller les signes suivants : trafic réseau anormal en volume ou en destination, connexions vers des IP suspectes, consommation CPU ou bande passante inhabituelle. Des outils gratuits comme Wireshark ou même l’interface de certains routeurs suffisent pour un premier audit maison.
Ce que révèle vraiment cette connexion silencieuse
Revenir à cette prise qui communiquait seule. La connexion observée était-elle malveillante ? Probablement pas. Un heartbeat vers un serveur cloud du fabricant, une vérification de firmware, voire une synchronisation NTP de l’horloge interne : ce sont les scénarios les plus courants. Mais l’exercice reste instructif, car une étude de l’Université de Leipzig a montré qu’un voisin dans un appartement adjacent peut apprendre des détails personnels sur un foyer sans casser aucun chiffrement, simplement en surveillant le trafic sans fil des appareils connectés proches, pour inférer ce que les gens font, quand ils sont chez eux, et même dans quelle pièce ils se trouvent.
Le problème n’est pas tant le fabricant légitime que la chaîne de sous-traitance invisible derrière chaque produit. Une étude sur le trafic des appareils IoT grand public en Chine révèle que les équipements chinois montrent une forte dépendance aux services domestiques : 99,8 % du trafic de destination est dirigé vers la Chine. Beaucoup de prises USB murales vendues sous marque blanche en Europe tournent sur des plateformes comme Tuya, dont les serveurs sont hébergés à l’étranger. Ce que la prise envoie, où elle l’envoie, depuis combien de temps : ce sont des questions auxquelles la majorité des acheteurs ne pensent jamais à poser.
Les appareils en fin de vie, les cycles de mise à jour lents et les identifiants par défaut continuent d’offrir aux opérateurs de botnets un accès facile aux réseaux domestiques et professionnels du monde entier. La prochaine génération de normes IoT, notamment le Cyber Resilience Act européen entré en application progressivement depuis 2024, devrait imposer des exigences minimales de sécurité aux fabricants commercialisant des appareils dans l’UE. Mais pour les millions de prises déjà installées dans les murs, la seule défense reste entre vos mains : un réseau séparé, un œil sur les logs, et la bonne habitude de ne jamais laisser un objet connecté partager le même espace réseau que votre banque en ligne.
Sources : formation-en-cybersecurite.fr | seidor.com