Sécuriser maison connectée : Alexa, Ring, Google Home

Stéphanie a acheté son premier Ring après un cambriolage dans sa rue à Longueuil, en février 2025. Trois mois plus tard, elle avait aussi deux Echo Dot, un thermostat Ecobee, une serrure connectée Yale, quatre ampoules Philips Hue et un détecteur de fumée Nest. Tout piloté par l’application Alexa.

En janvier 2026, elle a remarqué que son thermostat se déréglait à 2h du matin. Température qui montait à 24°C, puis redescendait. Son conjoint ne touchait à rien. Elle a changé son mot de passe Amazon. Le problème a disparu pendant trois jours, puis est revenu.

Après un audit, on a trouvé quatre comptes Amazon avec accès à ses appareils. Un cousin qui avait gardé la maison pendant ses vacances en 2024 avait été invité sur son Alexa et n’avait jamais été retiré. Son ex-colocataire de 2023, idem. Et deux adresses courriel qu’elle ne reconnaissait pas — probablement un compte Amazon compromis ailleurs.

Le problème avec l’IoT grand public

Un objet connecté, c’est un petit ordinateur avec deux caractéristiques qui posent problème :

Il parle tout le temps au cloud. Chaque caméra, ampoule, thermostat ou enceinte envoie des données à un serveur — métriques d’usage, télémétrie, diagnostics, parfois audio ou vidéo. Vous ne voyez presque jamais ce qui passe.

Il est rarement mis à jour. Une ampoule connectée à 25 $ vendue en 2022 ne recevra probablement plus jamais de mise à jour de sécurité en 2026. Le fabricant est passé à un autre modèle. La vulnérabilité découverte l’année dernière reste exploitable chez vous.

Multipliez ça par vingt appareils dans une maison moyenne en 2026, et vous avez un réseau qui collecte, transmet et parfois fuite des données en continu.

Les grandes familles et leurs angles morts

Amazon Echo / Alexa

Écoute en permanence pour détecter “Alexa”. Amazon conserve par défaut les enregistrements associés à votre compte, indéfiniment, pour “améliorer le service”. Vous pouvez changer ça.

Ce que vous devriez faire :

1. Ouvrez l’application Alexa → Plus → Paramètres → Confidentialité d’Alexa → Historique vocal.
2. Activez la suppression automatique après 3 mois (ou 18 mois, au choix). Mieux : activez “Ne pas enregistrer les commandes vocales”. L’enceinte continue de fonctionner, mais rien n’est conservé côté Amazon.
3. Dans Gérer votre historique Alexa → supprimez tout l’historique existant.
4. Désactivez “Utiliser les enregistrements vocaux pour développer de nouvelles fonctionnalités”.
5. Désactivez le micro physiquement quand vous ne vous en servez pas (bouton sur le dessus de l’Echo).

Pour les conversations vraiment privées, débranchez l’enceinte. C’est laid comme solution, mais c’est la seule certitude.

Ring (sonnettes et caméras extérieures)

Ring appartient à Amazon depuis 2018. Les données vidéo sont stockées sur les serveurs Amazon aux États-Unis. Historique notable :

• 2020 : faille qui a permis à des tiers d’accéder à des caméras Ring de familles. Amazon a payé une amende de 5,8 millions $ à la FTC.
• 2022 : Amazon admet avoir transmis 11 fois des vidéos aux forces policières américaines sans mandat, sous clause d’urgence.
• 2023 : paramétrage par défaut partageant des aperçus avec des employés Ring pour “améliorer la détection”. Retiré après pression publique.

Ce que vous devriez faire :

1. Activez l’authentification à deux facteurs sur votre compte Ring (obligatoire depuis 2020, mais vérifiez).
2. Paramétrez les zones de mouvement pour ne pas filmer la rue ou les voisins — au Québec, filmer la voie publique de façon continue peut poser un problème avec la Commission d’accès à l’information (CAI).
3. Dans l’application Ring → Contrôle center → désactivez “Aide aux enquêtes des forces de l’ordre” si vous ne voulez pas que Ring puisse partager votre vidéo sans mandat explicite.
4. Activez le chiffrement de bout en bout des vidéos (E2E Encryption) dans les paramètres. À noter : ça désactive certaines fonctionnalités de notification intelligente, mais empêche Amazon de lire les vidéos.
5. Affichez un autocollant visible indiquant la présence d’une caméra — exigence de la Loi 25 pour éviter les plaintes de voisins.

Google Nest (thermostats, caméras, sonnettes)

Google a fusionné Nest dans son écosystème en 2022. Les données sont désormais liées à votre compte Google et à l’historique Google Assistant.

Ce que vous devriez faire :

1. Dans l’app Google Home → Paramètres → Activité → vérifiez quelles données sont enregistrées (historique audio, vidéo, présence).
2. Dans myactivity.google.com → Assistant → supprimez les enregistrements vocaux et activez la suppression automatique tous les 3 mois.
3. Désactivez “Conservation des enregistrements audio” par défaut.
4. Pour les caméras Nest : désactivez la reconnaissance faciale (Familiar Faces) si vous ne l’utilisez pas activement. Elle crée une base biométrique chez Google.
5. Retirez tous les partages familiaux inutilisés. Vérifiez chaque 6 mois.

Apple HomeKit

Le moins pire côté vie privée : les données domotiques sont chiffrées de bout en bout entre votre HomeHub (Apple TV, HomePod, iPad) et vos appareils iOS. Apple ne voit pas les commandes.

Limite : l’écosystème HomeKit est plus restreint. Beaucoup d’accessoires bon marché ne sont pas compatibles. Ceux qui le sont ont passé une certification Apple (HAP) qui impose un niveau minimal de sécurité.

Si vous partez de zéro en 2026 et que la vie privée est prioritaire, HomeKit + Matter est le moins risqué des écosystèmes grand public.

Ampoules et accessoires ZigBee / Matter / Wi-Fi

Les ampoules Wi-Fi bon marché (Tuya, Merkury, marques blanches Amazon) sont les pires sur le plan sécurité. Elles communiquent via des serveurs en Chine ou aux États-Unis, rarement mises à jour, avec du firmware opaque.

Règles pratiques :

• Préférez les produits certifiés Matter (standard ouvert depuis 2022). Ils fonctionnent localement via un hub et n’ont pas besoin d’aller sur Internet pour chaque commande.
• Pour un hub ZigBee local : Home Assistant avec un dongle ZigBee Conbee II ou similaire. Installation technique, mais aucune donnée ne sort de chez vous.
• Évitez les marques que vous n’avez jamais entendues, surtout celles qui exigent une application au nom bizarre téléchargée depuis le Play Store avec 4 installations totales.

Le réseau : la protection la plus importante

Si vous ne faites qu’une seule chose après avoir lu cet article : séparez vos objets connectés de votre réseau principal.

Comment :

Option 1 — Réseau Wi-Fi invité. La plupart des routeurs récents permettent de créer un second SSID (nom de réseau) isolé du principal. Mettez tous les objets IoT dessus. Si une caméra se fait pirater, l’attaquant ne voit ni votre laptop, ni votre NAS, ni votre téléphone.

Dans les paramètres du routeur :

• Créez le réseau invité avec un nom distinct (ex: Maison-IoT).
• Activez l’isolation client pour empêcher les appareils IoT de se parler entre eux inutilement.
• Désactivez UPnP sur le réseau invité.

Option 2 — VLAN. Sur un routeur pro ou un système type UniFi, Firewalla ou pfSense, vous pouvez créer un VLAN dédié IoT avec des règles de pare-feu strictes. Plus de contrôle, plus complexe à configurer.

Option 3 — Blocage sortant. Un service comme Firewalla ou un simple Pi-hole peut détecter quel objet parle à quel serveur. Vous pouvez bloquer les destinations suspectes. Par exemple : bloquer toute sortie de votre caméra bon marché vers des domaines chinois, en ne gardant que les endpoints nécessaires.

Hygiène IoT : la checklist annuelle

Une fois par année — anniversaire, jour de l’an, peu importe — passez 90 minutes sur ceci :

1. Inventaire. Listez tous les objets connectés chez vous. Incluez ceux dont vous ne vous souvenez plus (ampoule achetée en 2022, caméra IP abandonnée dans un tiroir, vieille tablette qui sert de panneau de contrôle).
2. Mises à jour firmware. Pour chaque objet actif, vérifiez qu’il est à jour. Si le fabricant n’a pas poussé de mise à jour depuis 18 mois, l’appareil est obsolète et doit être remplacé ou déconnecté.
3. Accès partagés. Dans chaque app (Alexa, Google Home, Ring, Nest, Ecobee, etc.), listez les utilisateurs et invités. Retirez tout accès inutile — ex, colocataires partis, amis qui gardaient la maison une fois, anciens comptes.
4. Mots de passe. Changez les mots de passe principaux (Amazon, Google, Apple). Activez l’authentification à deux facteurs partout. Si un compte n’a pas de 2FA, migrez.
5. Paramètres vie privée. Chaque app a une section “Privacy” ou “Data”. Refaites-la. Les fabricants changent les valeurs par défaut en votre défaveur avec les mises à jour.
6. Retrait des objets inutilisés. Si vous n’utilisez plus une caméra ou une ampoule, retirez-la de votre compte, faites un reset usine, et débranchez-la.

Données de présence : ce que Ecobee et Nest savent vraiment

Un thermostat intelligent capte plus que la température. Les modèles Ecobee et Nest ont un capteur de présence intégré — ils savent quand il y a quelqu’un dans la pièce, à quelle heure, et combien de temps.

Ces données sont utiles pour optimiser la chauffe. Elles sont aussi extrêmement révélatrices de votre routine quotidienne : vous levez à 6h20, quittez la maison à 7h45, rentrez à 17h30, allez dans la chambre à 22h15. Un pattern parfait pour un cambrioleur patient ou, dans un contexte de séparation, pour un ex qui connaît vos allées et venues.

Ce que vous pouvez faire :

Pour Ecobee : ouvrez l’application → votre thermostat → Paramètres → Smart Home & Away. Vous pouvez désactiver l’utilisation des données de présence pour des fins autre que la régulation de chauffe.

Pour Nest : dans l’app Google Home → appareil Nest → Paramètres → Activité → vérifiez si “Home/Away Assist” est activé. La désactivation signifie que le thermostat utilisera un horaire fixe plutôt que votre présence — moins pratique, mais sans collecte continue.

Concernant les données partagées à des tiers : Ecobee a modifié sa politique en 2023 suite à des révélations sur des transferts à des annonceurs. Lisez la politique de confidentialité actuelle avant d’activer les fonctions “smart” avancées.

Quels appareils prioriser si vous partez de zéro?

Si vous montez une maison connectée en 2026 et que vous n’êtes pas prêt à faire une installation Home Assistant complexe, voici l’ordre de priorité côté sécurité et vie privée :

1. Caméras de sécurité : Eufy (stockage local possible), Arlo (E2E encryption optionnelle). Évitez les marques sans nom.
2. Thermostat : Ecobee (entreprise canadienne, politique transparente) en première option.
3. Enceinte vocale : si possible, aucune. Si vous en voulez une, HomePod mini (Apple, E2E sur HomeKit) en priorité.
4. Ampoules : certifiées Matter, zigbee sur hub local ou Philips Hue (protocole bien audité).
5. Serrure : gardez une vraie clé mécanique. August, Schlage ou Yale avec HomeKit pour les connectées.

Ce qu’il faut éviter en 2026

Les objets sans nom. Les caméras IP à 35 $ sur les marketplaces, sans marque reconnue, sans certification, sans politique de confidentialité lisible — ne les branchez pas sur votre réseau, point.

Les assistants vocaux dans la chambre et la cuisine intimes. Si vous voulez un endroit sans écoute, gardez-le sans enceinte connectée. C’est simple et radical.

Les serrures connectées comme unique point d’accès. Gardez toujours une vraie clé mécanique. Les serrures connectées ont eu des failles majeures en 2022 (August) et 2024 (plusieurs modèles chinois). Pas de backup physique = risque réel.

Les partages familiaux permanents. Quand vous donnez accès à votre système Alexa ou Ring à un membre de la famille, mettez-y une date de fin mentale. Révisez chaque 6 mois.

Cas québécois récents

• 2024 — Caméra Wyze piratée à Terrebonne. Un couple a vu son écran afficher une vidéo en direct venant d’un inconnu. Wyze a admis un bug serveur qui avait accidentellement exposé des flux de 13 000 utilisateurs pendant 40 minutes.
• 2025 — Fuite Ecobee. Un chercheur a publié une étude démontrant que les thermostats Ecobee envoyaient des données de présence à des annonceurs tiers avant 2023. Ecobee a modifié sa politique après coup.
• 2026 — Intrusion via ampoule à Gatineau. Un incident documenté par un assureur local montre qu’une ampoule TP-Link non mise à jour a servi de point d’entrée pour installer un mineur de cryptomonnaie sur un PC du même réseau. Coût électricité : 340 $ en un mois.

Ce qu’il faut retenir

Une maison intelligente bien configurée peut être raisonnablement sûre. Une maison intelligente par défaut, achetée par pièces, sans segmentation réseau, avec tous les accès partagés oubliés, est une surface d’attaque qui grandit chaque année.

Les trois actions qui couvrent 80% du risque :

1. Réseau Wi-Fi invité pour tous les objets IoT.
2. Authentification à deux facteurs sur chaque compte (Amazon, Google, Apple, Ring, Ecobee, etc.).
3. Audit annuel des accès partagés, suppression de tout ce qui est inutile.

Le reste est de l’hygiène.

---

Sequr — Agent certifié québécois

Audit maison connectée (réseau, objets IoT, partages, vie privée). Installation d’un réseau segmenté dédié IoT. Nous nous déplaçons partout au Québec.

---

À lire aussi :

• Sécuriser son routeur Wi-Fi en 10 minutes
• Droits et lois des caméras de surveillance au Québec
• Droits et lois des caméras de surveillance au Québec
• Système de sécurité maison au Québec : guide
• Vos données sont déjà en ligne — voici comment vérifier