Erica Olsen, du réseau national de lutte contre la violence domestique aux États-Unis (NNEDV), examine comment les agresseurs peuvent se servir des appareils connectés, mais aussi comment les victimes peuvent les utiliser pour se défendre
Que se passe-t-il lorsque l'Internet des Objets (IoT) se convertit en menace pour les foyers connectés ? Dans un rapport de l’an dernier, des chercheurs de l'université University College London ont découvert que « les systèmes connectés manquaient de paramètres de sécurité et de confidentialité bien établis et qu'ils étaient conçus en partant du principe que tous leurs utilisateurs se faisaient confiance. Ils constituent donc un nouveau vecteur de risque ».
Alors que les cas de violence domestique impliquant des appareils connectés se sont multipliés, il y a toujours un manque de prise de conscience ou de compréhension sur la façon dont les agresseurs peuvent utiliser les foyers connectés pour espionner ou harceler leurs habitants.
Erica Olsen, directrice du programme Safety Net au réseau national de lutte contre la violence domestique des États-Unis (NNEDV), a étudié et expliqué ce nouveau vecteur de risque. Elle plaide au nom des victimes de violences conjugales sur des sujets comme l’utilisation abusive de la technologie, la confidentialité et la sécurité des victimes. Elle consulte régulièrement des entreprises technologiques de premier plan sur l'impact potentiel de certaines technologies sur les victimes d’abus. Le blog d’Avast a parlé avec elle de l'impact des appareils connectés sur la violence domestique.
Blog d'Avast : Que vous racontent les victimes ? Quels types d’incidents se produisent ?
Erica Olsen : L’éventail est très large. Les cas portent souvent sur la mauvaise utilisation potentielle ou réelle de systèmes de sécurité. Si la configuration d’un système de sécurité connecté permet à l'agresseur d’accéder à la maison en appuyant sur un simple bouton de son smartphone, cela soulève d’importants problèmes de sécurité pour la personne qui y vit (même si l'agresseur n'y vit plus ou qu’une ordonnance de protection l’interdit de s'approcher de la maison). S’il conserve cet accès, il y a un véritable problème de sécurité qui doit être réglé au plus vite. Nous entendons aussi souvent parler de la façon dont les agresseurs utilisent des appareils pour harceler ou terroriser la victime, ou tout simplement lui rappeler qu’il la contrôle et la surveille constamment. Cela peut être aussi anodin qu’allumer, utiliser ou désactiver à distance des appareils de la maison. Malheureusement, nous avons aussi vu des cas où les appareils étaient utilisés pour nuire à quelqu’un de façon financière. Si quelqu'un laisse allumés l’électricité ou des appareils électroniques toute la journée et que la victime ne les éteint qu’une fois rentrée à la maison, les factures peuvent être incroyablement élevées. Le domicile peut devenir un enfer. Nous avons également vu des agresseurs utiliser ces appareils pour empêcher les gens de dormir. Une de nos victimes raconte que son agresseur allumait la lumière ou les haut-parleurs et diffusait de la musique en plein milieu de la nuit. Chez elle, la musique et les lumières étaient intégrées au foyer connecté. Dans une telle situation, la victime avait beaucoup de mal à dormir. Le lendemain, elle recevait un SMS disant : « Bon courage pour le travail. J’espère que vous avez passé une bonne nuit. »
Découvrez les conseils d’Avast et du NNEDV en matière de sécurité IoT et foyers connectés
Blog d'Avast : Que recommandez-vous aux victimes ?
Erica Olsen : Nous essayons de leur faire comprendre la technologie qui se trouve dans leur foyer. Ce n’est pas toujours évident. Un agresseur peut utiliser un système de sécurité pour les espionner. Les gens viennent vers nous, ou vers les programmes locaux, ou les forces de l'ordre, car ils ont peur que l'agresseur en sache trop sur ce qu’il se passe chez eux. Ils essaient alors de réduire ce champ et d’identifier ce dont la personne pourrait abuser. Parfois, la première stratégie consiste simplement à faire l'inventaire de la technologie qui est chez soi et à comprendre comment elle est configurée et qui y a accès. Souvent, ces étapes peuvent s’avérer fastidieuses et complexes. Tout le monde ne sait pas comment vérifier ce qui est connecté à son routeur. Nous procédons donc étape par étape et aidons les utilisateurs à identifier et à comprendre la technologie qui est chez eux, pour voir comment optimiser leur sécurité. Aujourd'hui, nous sommes envahis par une technologie que nous devrions comprendre, mais que nous ne comprenons pas vraiment. Et les personnes malintentionnées peuvent facilement en abuser.
« Nous procédons étape par étape et aidons les utilisateurs à identifier et à comprendre la technologie qui est chez eux, pour voir comment optimiser leur sécurité. »
Blog d'Avast : Est-ce une bonne idée d’éteindre ses appareils ?
Erica Olsen : Nous évitons de conseiller aux victimes de tout éteindre et de se déconnecter. Dans certaines situations, c'est ce que la victime veut faire car cette stratégie peut lui donner un sentiment de sécurité. Mais nous ne préconisons pas cette solution, car c’est une stratégie facile qui ne mettra pas fin aux abus. Nous ne vivons pas dans un monde où il suffit de se déconnecter.
Blog d'Avast (BA) : Se déconnecter pourrait-il isoler encore plus la victime ?
Erica Olsen : Oui. Il ne faudrait pas accentuer l'isolement de quelqu'un ni donner d’autres tactiques à l’agresseur. Très souvent, l’agresseur abuse de ces technologies parce qu'elles lui donnent l'accès et le contrôle qu'il veut. Elles peuvent lui permettre de vraiment terroriser la personne. Elles lui donnent un certain niveau de contrôle. Si vous lui retirez cet accès et ce contrôle, il y a peu de chances qu'il arrête de harceler sa victime. Il trouvera sûrement un autre moyen d’accéder à elle. Si vous coupez son accès aux appareils connectés, il se peut que l'agresseur intensifie son comportement. S'il ne peut pas joindre la personne à distance, il peut essayer de le faire en personne et arriver sur les lieux. La victime doit toujours réfléchir à ce que l'agresseur pourrait faire et suive son instinct. Elle le connait mieux que quiconque. Si elle pense que l’agresseur pourrait devenir plus violent et plus dangereux, c'est quelque chose dont elle doit tenir compte pour sa sécurité.
Blog d'Avast (BA) : Ce type d'attaque intime via la technologie est très invasif. Qu'est-ce que cela vous dit en matière de droit à la vie privée et à la sécurité en ligne ?
Erica Olsen : Il est difficile d’exprimer combien être envahi dans sa propre maison peut être intrusif. C'est censé être l'endroit où vous êtes en sécurité. Surtout lorsque l'agresseur n'est plus censé être à la maison et que la victime tente de reconstruire sa vie. Le fait que quelqu'un puisse avoir accès à sa maison, aussi bien physiquement (comme en ouvrant les portes avec un système de sécurité) qu’à distance (en surveillant la victime avec des caméras) implique une très grave perte de contrôle sur son environnement. Les gens peuvent finir par se sentir impuissants et terrifiés par le fait de ne pas pouvoir contrôler sa propre vie privée. Mais c’est souvent ce que cherche l’agresseur. Il veut que la personne comprenne qu’il contrôle tout et qu’elle ne peut rien faire à son insu. C’est un sentiment désespérant et terrifiant.
Blog d'Avast (BA) : Y a-t-il eu des cas juridiques qui ont exploré cela ? Ce genre d'abus est-il contraire à la loi ? Cela violerait-il une ordonnance restrictive ?
Erica Olsen : Oui, dans la plupart des cas, cela serait considéré comme une violation d'une ordonnance de protection. Cela dépend de ce que dit l’ordonnance et de la façon dont elle est interprétée. De nos jours, la plupart des ordonnances de protection sont à jour et précisent que le contact n'est pas seulement d’ordre physique en spécifiant qu’il est aussi interdit d’abuser des moyens de communications et des dispositifs électroniques pour harceler ou communiquer avec la personne. Cependant, il y a toujours un risque qu’une ordonnance ne soit pas écrite aussi largement qu'elle devrait l’être ou que l'interprétation de celle-ci ne corresponde pas à nos besoins. Malheureusement, il n'y a pas d'interprétation universelle de sa signification. Certains responsables croient peut-être toujours que si l'agresseur n'est pas physiquement chez vous, il suffit de désactiver Internet et de l’ignorer. Ce sont des principes injustes contre lesquels nous travaillons. Pour la victime, ce n'est ni réaliste ni faisable. Cela ne tient pas compte de la réalité : l’agresseur ne s’en arrêtera pas là. Cela ne changera pas son comportement, seulement sa tactique.
Blog d'Avast (BA) : Existe-t-il des statistiques montrant la proportion du harcèlement lié aux appareils connectés ou à la technologie dans les cas de violence domestique ?
Erica Olsen : Il est difficile d'obtenir des chiffres définitifs, en partie parce que la victime ne s’en rend pas toujours compte. Parfois, le principal indice est que l'agresseur connaît les habitudes de la victime, comme lorsqu’elle est à la maison ou non. Mais les options d'enquête sont si limitées. Certaines victimes veulent juste se débarrasser de leurs appareils pour s'éloigner de leur agresseur. Même les victimes souhaitant passer par les voies légales pourraient ne pas avancer car les enquêtes sont limitées. Certains services de police ne disposent pas de beaucoup de ressources. Nous voyons beaucoup de services de police qui n'ont pas de logiciel médico-légal pour analyser cela. Lorsque nous organisons des formations, les policiers nous disent parfois qu'ils ne savent pas comment travailler avec les entreprises pour numériser ou obtenir des données à partir d'appareils. Si cela prend trop de temps, les victimes finissent parfois par se débarrasser de leur téléphone ou des appareils qui les dérangent, ou essaient de remplacer les choses pour pouvoir continuer à vivre leur vie. Cela limite notre capacité à citer des chiffres qui montrent de nombreux cas impliquant des logiciels espions ou des appareils connectés.
Blog d'Avast (BA) : Il y a un an, le New York Times vous a interrogée sur ce que le journal décrivait comme une nouvelle tendance dans le cadre de violence domestique : l’abus des dispositifs connectés. Qu'y a-t-il de nouveau dans le problème de la violence domestique liée aux appareils connectés ?
Erica Olsen : Ce problème retient beaucoup plus l’attention. Les victimes parlent aux forces de l'ordre et aux défenseurs de ce type d'abus, qui à leur tour le reconnaissent un peu plus. Certaines entreprises y portent aussi plus d'intérêt. Certaines entreprises de sécurité du domicile (Ring, entre autres) essaient vraiment de tenir compte de la façon dont leurs produits pourraient être utilisés à mauvais escient ou comment ils pourraient servir de façon stratégique à optimiser la vie privée et la sécurité des victimes.
« Le développement des technologies part souvent du principe que les gens avec qui vous vivez sont des personnes de confiance. »
Blog d'Avast : Cette coopération des entreprises est-elle inhabituelle ?
Erica Olsen : Cela fait maintenant quelques années que nous travaillons avec des entreprises technologiques, et nous siégeons au conseil consultatif de certaines d’entre elles. Je pense que de nombreuses entreprises sont passées pour réactionnaires lorsque les actualités ont révélé que leur plateforme pouvait être utilisée à mauvais escient. Mais après tout les cas qui ont été signalés, les entreprises essaient vraiment d'adopter une approche proactive et de penser un peu plus à la sécurité et à la confidentialité dès le stade de la conception. Ce que l'Internet des objets, et en particulier la technologie du foyer connecté, ont d’intéressant, c’est que même si des entreprises tiennent compte de la vie privée dès le stade de la conception, le développement de ces technologies part souvent du principe que les gens avec qui vous vivez sont des personnes de confiance. Que ce n'est pas de ces personnes que vous voulez protéger votre vie privée, que ce ne sont pas ces personnes qui menacent votre sécurité. Donc même si la technologie est conçue en tenant compte de la confidentialité, son niveau de confidentialité ou de contrôle n’empêchera jamais quelqu'un d'en abuser. Les entreprises pourraient en fait créer des appareils qui facilitent les abus.
Blog d'Avast : Comment votre programme Safety Net s'intègre-t-il à cela ?
Erica Olsen : Nous l’avons créé en 2000, et depuis lors, nous avons étudié comment toutes sortes de technologies sont liées à la violence domestique, aux agressions sexuelles, au harcèlement et au trafic. Il peut s’agir d’agresseurs abusant de la technologie, mais aussi de victimes utilisant stratégiquement la technologie pour protéger leur vie privée et leur sécurité. Nous travaillons en étroite collaboration avec de nombreuses entreprises de technologie, et nous proposons beaucoup de ressources pour les gens sur notre site Web techsafety.org. Nous essayons de faire comprendre aux gens comment certaines personnes peuvent abuser de la technologie, comment la comprendre et comment elle peut servir à se protéger. Womenslaw.org est également une excellente ressource pour s'informer sur les lois qui s'appliquent à ce domaine. On croit à tort qu’il n’y a pas de lois pour lutter contre ces crimes, mais ce n’est pas le cas. La plupart des lois qui traitent des abus, des agressions et du harcèlement se concentrent sur le comportement, et non sur une technologie spécifique. Il y a quelque chose à faire. C’est la bonne nouvelle, les choses évoluent. Les victimes disposent de plus de ressources, de conseillers et de solutions.