Selon la société de domotique IFTTT (un initialisme de If This, Then That), environ 11 millions de personnes utilisent plus d’un milliard de règles de domotique , communément appelées «applets», chaque mois chez elles. Mais une étude de 2017 a révélé que près de la moitié des applets IFTTT peuvent constituer une menace pour la sécurité ou la confidentialité des utilisateurs.
Il s’avère que beaucoup de ces applets étaient risqués en théorie mais pas si dangereux en réalité. Mais il existe d’autres types de menaces dont les utilisateurs doivent être conscients.
Ce sont les résultats d’une étude récente menée par une équipe de chercheurs du CyLab de l’Université Carnegie Mellon. Les résultats ont été présentés lors du Symposium sur la confidentialité et la sécurité utilisables (SOUPS) , qui s’est tenu pratiquement au début du mois.
Alors qu’une étude précédente a révélé qu’une grande partie des applets IFTTT peuvent exposer les informations privées des utilisateurs au public – une violation de la confidentialité – ou accorder à une entité moins fiable le contrôle de leurs informations ou de leurs appareils – une violation d’intégrité – cette dernière étude a révélé que beaucoup de ces risques ne se produisent pas dans le monde réel.
«Il y a encore un risque de risque à bien des égards, mais de façon réaliste, les utilisateurs sont en grande partie en sécurité», déclare Camille Cobb, chercheuse postdoctorale au CyLab, qui a dirigé l’étude.
Dans l’étude, l’équipe a collecté et analysé 732 applets installés par 28 participants à l’étude, et a posé aux participants une série de questions d’enquête pour mieux comprendre leurs applets et comment ils les utilisent. L’équipe a utilisé un outil qui a collecté des informations spécifiques sur les applets des participants, y compris le titre de l’applet spécifié par l’utilisateur.
Leur analyse a révélé de nombreux cas où une applet pouvait en théorie causer une violation du secret ou de l’intégrité, mais de la manière spécifique dont l’applet était utilisée, elle n’était en fait pas susceptible de causer des dommages.
Par exemple, de nombreux participants ont utilisé des applets qui partageaient des informations sur une action chez eux, telle qu’une ouverture de fenêtre ou un mouvement détecté sur leur porche, à un service de stockage dans le cloud comme Google Sheets. Étant donné que Google Sheets peut théoriquement être partagé publiquement, l’analyse de risque originale a conclu que cet applet pouvait présenter une possible violation de la confidentialité.
“Dans tous les cas où nous avons posé la question, chaque utilisateur a dit qu’il ne partageait la feuille Google avec personne d’autre”, explique Cobb. “C’est un exemple où nous pensions qu’il pourrait y avoir des risques, et il pourrait certainement y en avoir, mais dans la plupart des scénarios réalistes, il n’y en a probablement pas.”
Cependant, les chercheurs ont trouvé des exemples concrets de ce qu’ils appellent des «menaces accidentelles des utilisateurs», ce que les études précédentes n’avaient pas identifié. En bref, ils ont trouvé de nombreuses applets qui avaient de fortes chances de collecter des informations sur des personnes autres que les utilisateurs qui les configuraient – des informations qui pourraient potentiellement être volées ou utilisées à mauvais escient.
“Il y avait une règle qui était intitulée quelque chose du genre:” Si quelqu’un m’envoie un SMS, enregistrez le contenu de ce SMS sur une feuille Google “”, explique Cobb. “Les gens qui m’envoient des SMS ne s’attendent probablement pas à ce que tout ce qu’ils m’envoient sera enregistré sous cette forme. Peut-être qu’ils ne sont pas à l’aise avec cela.”
Si le contenu de la conversation par SMS que l’on pense être privée existe à deux endroits, dit Cobb, cela augmente le risque d’être partagé accidentellement avec un public plus large.
Compte tenu de ces résultats, les chercheurs proposent des lignes directrices pour créer un meilleur outil à l’avenir pour aider à identifier les applets à risque. Et bien que l’étude puisse globalement sembler une excellente nouvelle pour la plupart des utilisateurs d’IFTTT, Cobb avertit qu’ils devraient toujours prendre les applets risquées au sérieux.
«Ce n’est pas parce que nous avons trouvé que moins d’applets peuvent être risqués que nous le pensions auparavant que nous ne devrions pas encore consacrer d’efforts à rendre celles qui sont moins risquées», déclare Cobb.