Les faiblesses de sécurité liées aux jouets-connectés pourraient assombrir Noël

L’agence française de protection des données a publié une mise en demeure visant les fabricants de My Friend Cayla, une poupée populaire enregistrant les paroles d’enfants afin de les envoyer aux parents ou gardiens sur leur téléphone mobile.

L’avis de la CNIL arrive juste avant Noël et avertis les potentiels acheteurs que ce jouet ne comprend aucune mesure de confidentialité et permet à quiconque, dans un rayon de 9 mètres, de se jumeler avec l’appareil. Une fois connecté, il est possible d’écouter et de communiquer avec l’enfant via un micro intégré au jouet.

 

Une histoire familière

Les technologies IoT (Internet of Things) ont révolutionné l’industrie du jouet via des logiciels de reconnaissance vocale remplaçant les faux systèmes digestifs. Ces technologies sont désormais devenues des gadgets indispensables aux nouvelles poupées.

Bien que les fabricants de jouets aient toujours été préoccupés par la sécurité des enfants, ils se concentraient traditionnellement sur des problématiques telles que les risques d’étouffement ou d’empoisonnement. La cyber-sécurité est un challenge très différent que malheureusement beaucoup de fabricants ont ignoré jusqu’ici.

En novembre 2017, le magazine de consommateurs Which? a testé 7 jouets et a trouvé des failles de cyber-sécurité sur 4 d’entre eux : le Furby Connect, i-Que Intelligent Robot, Toy-Fi Teddy et CloudPets.

Lors d’un communiqué de presse, Which? a indiqué que « dans chacun de ces jouets, la connexion Bluetooth n’a pas été sécurisée. Cela signifie que durant les tests, nos hackers n’ont pas eu besoin de mot de passe, de code PIN ou d’autre type d’identification afin d’accéder aux données. De plus, il suffit d’un faible niveau de connaissances techniques afin d’accéder au jouet et d’échanger des messages avec un enfant. »

En utilisant un hack existant, Which? a également pu jouer des fichiers audios sur le Furby et modifier les illustrations dans ses yeux. Ils n’ont pas réussi à détourner le Furby afin d’en faire un appareil d’écoute mais « pensent que cela serait possible si une personne était capable de modifier son programme. »

Les jouets Toy-Fi Teddy et CloudPets ont les mêmes failles que My Frienc Cayla. Les chercheurs de Which? ont pu jouer des messages vocaux via le jouet et écouter les réponses des enfants.

Les failles du jouet CloudPets ont été mises à jour en février 2017 par Paul Stone, chercheur dans le domaine de la sécurité. Les données de plus de 800 000 consommateurs ainsi que 2 millions enregistrements audio ont été laissé sur une base de données non protégée par un mot de passe ou derrière un pare-feu, permettant à des parties malveillantes d’accéder aux données et d’exiger une rançon de la part de l’entreprise.

Spiral Toys, fabricant du jouet CloudPets, a essayé de minimiser les failles. Cependant, le cours de leurs actions a chuté au cours des mois suivants et l’entreprise a été ridiculisée sur les réseaux sociaux, plus particulièrement après qu’un utilisateur Twitter ait photographié des dizaines de produits CloudPets en vente dans une magasin discount.

« Haha. Tous les #cloudpets corrompus au magasin 99 cent. J’aime leur manière de couvrir le nom avec un sticker en espérant que personne ne le remarque. »

 

La sécurité dans le monde digital

Les jouets connectés seront surement en haut de la liste de beaucoup d’enfants ce Noël, les problématiques de sécurité laissent donc les parents dans une situation compliquée. En effet, il est difficile d’expliquer à vos enfants que Cayla n’est pas leur amie mais plutôt un « appareil d’espionnage illégale ». De plus les autres jouets connectés n’inspirent pas nécessairement confiance.

Les jouets représentent une problématique de sécurité sensible puisqu’ils affectent la vie privée des enfants. Mais la numérisation de nos vies a créé des failles de sécurité tout autour de nous.

Notre livre du mois de décembre, Security in the Digital World, montre l’étendue du problème et offre des conseils sur la meilleure manière de gérer les menaces.

Ce guide (en Anglais) donne des informations concernant les risques des consommateurs, vous fournissant :

  • Une compréhension et une sensibilisation aux cyber-menaces et à la sécurité de l’information ;
  • Des explications concernant l’ingénierie sociale et les techniques utilisées par les cybercriminels ;
  • Des conseils sur ce dont il faut se méfier en ligne ainsi que vos droits de consommateur ;
  • Des directives sur les menaces courantes de l’ère digitale, y compris les programmes malveillants, l’ingénierie sociale et les ransomware; et
  • 10 conseil afin de conserver vos données numériques en toute sécurité.

 

Achetez Security in the Digital World avant fin décembre et obtenez 10% de réduction >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.