Chaque appareil connecté à votre réseau domestique est une porte d'entrée potentielle. Beaucoup ne reçoivent jamais de mise à jour de sécurité. Certains conservent leurs mots de passe par défaut.
Une ampoule connectée ou un thermostat ne présente pas de risque de sécurité réel. Ce sont des appareils simples, sans données sensibles.
Un objet IoT compromis donne accès au réseau local sur lequel il est connecté. De là, un attaquant peut tenter d'atteindre d'autres appareils — ordinateurs, NAS, caméras — ou utiliser l'appareil comme point de départ d'autres attaques.
Les appareils IoT grand public sont conçus avec une priorité sur la facilité d'usage et le coût de fabrication, rarement sur la sécurité. Un fabricant de caméras de surveillance bon marché n'a pas d'incitation économique à maintenir des mises à jour de sécurité pendant 10 ans — durée de vie typique d'un équipement physique. Une vulnérabilité découverte sur un modèle de caméra vendu à 30 euros restera souvent non corrigée si le produit est en fin de vie commerciale.
Le botnet Mirai, en 2016, a compromis des centaines de milliers de caméras IP et de routeurs domestiques via leurs mots de passe par défaut non changés pour lancer une des plus grandes attaques DDoS de l'histoire. Ces appareils n'avaient pas de données sensibles — mais ils avaient une connexion réseau et une bande passante exploitables.
Le premier vecteur est le mot de passe par défaut : admin/admin, admin/password, ou pire, aucun mot de passe. Des scanners automatisés testent ces combinaisons en permanence sur l'ensemble d'internet. Un appareil exposé avec un mot de passe par défaut est compromis en quelques heures. Le deuxième vecteur est l'absence de mises à jour : des vulnérabilités dans les firmwares d'appareils IoT restent souvent non corrigées indéfiniment.
Le troisième vecteur est la confiance implicite sur le réseau local : beaucoup d'appareils et de services sur un réseau local se font confiance mutuellement, supposant que tout ce qui est "à l'intérieur" est sûr. Un appareil IoT compromis qui partage ce réseau peut ainsi atteindre des appareils normalement bien protégés.
La mesure la plus efficace est la segmentation réseau : créer un réseau Wi-Fi séparé (la plupart des routeurs modernes permettent un réseau "invité") pour tous les appareils IoT. Ce réseau isolé donne accès à internet mais pas au réseau principal où se trouvent ordinateurs et smartphones. Un appareil IoT compromis sur ce réseau séparé ne peut pas atteindre vos données. Changer les mots de passe par défaut, désactiver l'accès à distance quand il n'est pas nécessaire, et éviter les appareils de marques sans politique de mises à jour documentée complètent cette approche.
En octobre 2016, une attaque DDoS record a mis hors ligne une partie significative d'internet — Twitter, Netflix, Reddit, Spotify étaient inaccessibles pendant des heures dans plusieurs pays. L'attaque utilisait le botnet Mirai, composé de 600 000 appareils IoT compromis : caméras de surveillance, enregistreurs vidéo, routeurs domestiques. Le vecteur d'infection était trivial — des identifiants par défaut comme admin/admin, root/root, ou des mots de passe constructeur jamais changés.
Mirai a été suivi par des dizaines de botnets similaires — Reaper, Hajime, IoT Troop — exploitant les mêmes faiblesses structurelles de l'écosystème IoT. Ces appareils compromis ne volent généralement pas les données de leurs propriétaires — ils sont utilisés comme infrastructure d'attaque pour cibler d'autres cibles. L'impact pour leur propriétaire est indirect : consommation de bande passante, participation involontaire à des activités illégales, et potentielle responsabilité légale dans certaines juridictions.
Une caméra de surveillance peut fonctionner pendant 10 à 15 ans. Un fabricant grand public maintient le support firmware de ses produits pendant 3 à 5 ans en moyenne, souvent moins pour les modèles d'entrée de gamme. L'écart entre durée de vie physique et durée de support crée des appareils qui continuent à fonctionner avec des vulnérabilités connues, non corrigées, pendant des années. Dans l'Union européenne, la directive sur la cyber-résilience (Cyber Resilience Act, adopté en 2024) impose des durées minimales de support, mais son application reste progressive.
Pour évaluer un appareil IoT avant achat : vérifier si le fabricant publie des bulletins de sécurité et des mises à jour régulières. Rechercher le modèle sur des bases de vulnérabilités comme CVE Details. Préférer les fabricants qui documentent clairement leur politique de fin de support. Un appareil bon marché sans historique de mises à jour est un pari sur la sécurité, pas seulement sur la qualité.
Avant d'ajouter un appareil IoT à votre réseau, quelques vérifications réduisent significativement l'exposition. Rechercher le nom du fabricant et du modèle accompagné de "vulnerability" ou "CVE" permet de voir si des failles de sécurité ont été documentées et corrigées. Vérifier si le fabricant publie des notes de mise à jour régulières — leur présence indique une politique de maintenance active. Éviter les appareils dont le mot de passe d'administration ne peut pas être changé.
La segmentation réseau reste la mesure la plus efficace quel que soit l'appareil : un réseau IoT isolé contient la compromission éventuelle. Un appareil compromis sur un réseau séparé ne peut pas atteindre vos ordinateurs, vos NAS, ou vos autres équipements sensibles. Cette mesure s'applique à tous les appareils IoT sans exception — même ceux de marques reconnues, dont les firmwares peuvent contenir des vulnérabilités non encore découvertes.