Tester le respect de la vie privée d’objets connectés du quotidien
De plus en plus de personnes se dotent d’objets connectés en vue d’un plus grand confort chez elles, d’une meilleure gestion de leurs efforts physiques ou pour protéger leurs enfants. Le marché français de l’Internet des objets dépasse le milliard d’euros. Quel est le niveau de sécurité de ces objets ? Quel est leur impact sur notre vie privée ? Les règles de protection des données personnelles sont-elles prises en compte par les fournisseurs ?
Le but de ce projet est d’étudier la sécurité d’une série d’objets connectés du quotidien d’un point de vue « protection de la vie privée ».
Pour cela, nous mettons à votre disposition un ensemble d’objets connectés, comme une enceinte connectée avec caméra, un babyphone intelligent, une montre connectée pour enfant ou encore un écran de visiophone familial (la liste exacte sera présentée sur place le premier jour) ainsi qu’un smartphone de test permettant d’installer les applications compagnons.
Il s’agira de chercher des attaques pratiques sur tous ou certains de ces objets dans un esprit méthodologique de type PIA. Cette méthode vise principalement :
- à identifier les traitements1 de données personnelles mises en œuvre par les objets connectés et les applications sur téléphone associées,
- à évaluer les différentes mesures mises en place (ou non) pour sécuriser ces traitements,
- à établir différents scénarios d’attaques pratiques fondés sur ce constat,
- à évaluer les scénarios d’attaque suivant leur vraisemblance et leur impact sur les personnes.
L’objectif de ce travail :
- Tester la sécurité d’une série d’objets connectés.
- Décrire des scénarios d’attaque pratique pouvant avoir un impact sur les personnes concernées par leur utilisation.
Pour aller plus loin :
L’équipe travaillant sur ce projet sera invitée, si elle le souhaite, à publier un article de médiation scientifique sur linc.cnil.fr reprenant les scénarios d’attaques qui lui semblent le plus plausible.
1 Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).