À chaque Noël, les rayons des magasins se remplissent de jouets connectés “intelligents” pour les enfants, toujours plus volumineux, plus complexes et plus chers.
Les gadgets électroniques dans les jouets ne sont pas vraiment nouveaux, mais que contiennent exactement ces jouets connectés, et de quelles informations les parents devraient en possession avant d’acheter ?
En fait, une accumulation de preuves suggère que les acheteurs devraient être très prudents pour d’évidentes raisons liées aux problèmes apparus ces dernières années dans l’univers des Objets Connectés (IoT), et dont les jouets connectés font partie bien évidemment.
Il s’agit des interrogations de base suivantes :
- Les données personnelles collectées sont-elles sensibles ?
- Peuvent-ils être directement détournés, interagir avec, ou espionner les enfants ?
- ou même utilisés pour mener des attaques contre des tiers ?
Commençons avec la question des données personnelles.
Une mise en garde a été lancée en 2015 lorsque le fabricant de jouets basé à Hong Kong, VTech, a été victime d’une violation de données qui a compromis les données personnelles de 4.8 millions de comptes utilisateurs, connectés à 6,3 millions d’enfants.
Au-delà de plusieurs défaillances techniques, l’entreprise n’a pas réussi à restaurer la confiance lorsqu’elle a essayé de transférer la responsabilité de toute future violation vers ses clients, en modifiant ses conditions générales d’utilisation, comme suit :
Vous reconnaissez et acceptez que toute donnée que vous envoyez ou recevez en utilisant le site peut ne pas être sécurisée, et peut être interceptée ou récupérée ultérieurement par des tiers non autorisés.
En substance, même si nous échouons lamentablement, cela reste votre problème car vous nous avez fait confiance. Ces conditions étaient probablement inapplicables, et des poursuites judiciaires en recours collectif vis-à-vis de cette violation sont en cours encore aujourd’hui.
Ainsi, notre premier conseil est le suivant : dès qu’un jouet est utilisé avec une application ou un service en ligne, vérifiez les conditions générales d’utilisation minutieusement à la recherche de subtilités permettant de dégager la responsabilité du vendeur, ou afin de trouver certains indices qui vous paraîtraient déjà suspects.
Le cas cité plus haut n’est pas unique. En effet, en 2017, les jouets connectés en peluche CloudPets, de l’entreprise américaine Spiral Toys, ont été victime d’une faille, offrant une base de données de 2.2 millions de messages vocaux à de potentiels hackers.
Pire, l’expert qui l’a découverte a été ignoré par Spiral Toys quand il a essayé de les avertir du problème.
Et les jouets connectés à des fins de surveillance ?
À peu près au même moment, l’agence allemande du réseau fédéral a mis en garde contre la poupée populaire dénommée “My Friend Cayla”, de la société Genesis Toys, qui pouvait être utilisée pour espionner des enfants ou, plus globalement, n’importe qui dans son rayon d’action.
Les autorités allemandes n’ont pas traîné pour réagir. Selon un porte-parole :
Posséder un tel appareil est illégal.
Durant les fêtes de Noël 2017, il semble que les jouets connectés continuent d’être des proies faciles pour les chercheurs à la recherche de failles, petites et grandes. Par exemple, prenez Furby Connect de Hasbro, dont la conception médiocre de son BlueTooth en matière de sécurité, a été descendue en flammes par une société britannique de tests de pénétration.
Des failles plus sérieuses ont été découvertes par une autre société d’expertise dans le domaine des jouets connectés utilisant le Wi-Fi, sans parler des mises à jour de firmwares plus que légères, des montres intelligentes mal sécurisées, et des drones vulnérables dont les données pouvaient être facilement interceptées.
Que cela nous plaise ou non, il n’existe aucun moyen d’acheter un jouet connecté en sachant à l’avance son niveau de sécurité, que ce soit localement ou lorsque les données qu’il recueille sont envoyées à des serveurs distants.
S’il n’est pas correctement sécurisé, il n’existe aucune garantie que le problème sera réglé ou même reconnu. C’est comme si les données économiques de ce secteur ne justifiaient pas un tel investissement, pour un jouet qui coûte moins de 50€.
Les commerçants, quant à eux, ne considèrent pas les failles de sécurité comme une raison suffisante pour ramener les jouets connectés au-delà des périodes spécifiées.
Enfin, notre deuxième conseil est d’effectuer une recherche sur le jouet en question et son fabricant, afin de voir si des problèmes sont déjà connus, avant de l’acheter.
La dernière question est de savoir si les jouets connectés pourraient devenir une éventuelle plateforme pour le piratage d’appareils, du même type qui celle qui a alimenté le botnet DDoS Mirai en 2016.
Pour l’instant, la réalité d’une menace émanant de “toybots” semble exagérée. Les jouets connectés ne restent pas allumés assez longtemps et la grande majorité n’a pas assez de puissance de calcul ou d’autonomie au niveau de la batterie pour executer le type de logiciel qui permet de lancer de telles cyberattaques.
Mais ne les félicitons pas pour autant ! En effet, même ceux qui se comportent comme spécifié par le fabriquant ont une capacité toujours plus grande à collecter des données concernant les enfants, laquelle est d’ailleurs difficile à quantifier ou à surveiller. Toutes ces zones d’ombre seront soigneusement enfouies au sein de conditions générales d’utilisation, que les gens prennent rarement la peine de lire.
Les parents devraient essayer de garder à l’esprit qu’en ce qui concerne les enfants, un jouet connecté toujours plus intelligent n’est pas une fin en soi !
Quelqu’un veut jouer au Lego ?
Billet inspiré de Toys: they’re getting smarter, but are they secure?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.