techno

Pour Noël, offrez des jouets connectés vulnérables à vos enfants

Une association de consommateurs allemande a découvert qu’au moins quatre jouets connectés vendus en grande surface peuvent être piratés pour parler aux enfants et enregistrer les sons ambiants.

par Thibault Prévost
23 novembre 2017, 4:35pm

Cet article a initialement été publié par Motherboard France.

Jeune parent, tu souhaites offrir à ton enfant en bas âge un cadeau non seulement amusant mais pédagogique afin de le sensibiliser dès le plus jeune âge aux périls de la société numérique ? Ne cherche plus, c’est un jouet connecté qu’il te faut. Mais pas n’importe lequel : un jouet connecté mal protégé par son fabricant, qui permettra potentiellement à n’importe qui de le pirater pour « discuter » avec ton kid pendant que tu auras le dos tourné. Histoire qu’il apprenne tout de suite ce que signifie la protection de la vie privée. On dit quoi ? On dit « merci, Motherboard ».

À lire aussi: Les enfants affectent votre espérance de vie

Et merci à Stiftung Warentest, l’équivalent allemand de Protégez-Vous, qui vient de publier une série de tests en compagnie d’experts en sécurité et en association avec le britannique Which? pour déterminer la vulnérabilité des modèles de jouets connectés les plus vendus sur le marché. Les résultats, rapportés par le Guardian, sont tout simplement ahurissants : sur sept modèles testés, quatre présentaient des failles de sécurité si importantes qu’elles permettaient à n’importe qui d’entrer en communication avec l’enfant via la commande vocale du jouet, mais aussi d’enregistrer toutes les conversations et les sons ambiants. Voici la liste noire : Furby Connect, i-Que Intelligent Robot, Toy-Fi Teddy et CloudPets. Quatre stars du rayon jouet en 2017, facilement disponibles au Canada.

« La sécurité devrait être la priorité absolue pour tout jouet. Si elle ne peut pas être garantie, alors les produits ne devraient pas être vendus. »

Point commun de ces quatre produits : la connexion Bluetooth, qui confère au jouet son aspect « connecté », n’est protégée par aucun type d’authentification, mot de passe ou code NIP d’aucune sorte. Un véritable open bar pour le hacker du dimanche qui souhaiterait contrôler le jouet en question et interagir avec son utilisateur sans aucune connaissance préalable en penetration testing.

Dans le cas du Furby Connect, n’importe quel appareil peut se connecter à la petite créature dans un rayon de 30 mètres, révèle l’enquête ; chez l’I-Que Intelligent Robot, vendu sur Amazon, n’importe qui peut télécharger l’application dédiée puis se connecter à un jouet, saisir des commandes textuelles et faire dire au robot ce qu’il veut ; chez CloudPets, qui vend des animaux en fourrure permettant aux enfants de s’envoyer des messages par bestioles interposées, la connexion Bluetooth était aisément piratable ; mais le champion toutes catégories de la négligence sécuritaire est le Toy-Fi Teddy, qui permet là aussi à l’enfant d’envoyer et de recevoir des messages vocaux via une application smartphone et une connexion Bluetooth… dénuée de toute protection. N’importe qui peut, en théorie, discuter avec votre enfant et enregistrer l'échange, sans même se donner du mal. Et si une connexion Bluetooth « classique » n’a qu’une portée de 10 à 30 mètres, il suffit d’une antenne bricolée chez soi pour augmenter la portée du signal.

La licorne magique a un petit secret à murmurer à l'oreille de Théo. Image : CloudPets

En conclusion de son rapport, les deux associations de consommateurs appellent ni plus ni moins à un retrait de la vente de ces jouets, et déconseillent fortement aux parents d’en équiper leurs foyers. « La sécurité devrait être la priorité absolue pour tout jouet. Si elle ne peut pas être garantie, alors les produits ne devraient pas être vendus », explique Alex Neill, responsable des produits domestiques chez Which?. À la suite de ce rapport, l’association anglaise a également écrit aux vendeurs pour les encourager à ne plus proposer les jouets incriminés dans leurs catalogues, particulièrement à l’approche des fêtes.

Malheureusement, l’étude des deux associations est loin d’être la première à révéler l’amateurisme des fabricants vis-à-vis des questions de sécurité : en février dernier, CloudPets était déjà la cible des critiques après que des experts en sécurité aient découvert que le fabricant stockait des milliers d’enregistrements vocaux de parents et d’enfants dans une base de données accessible en ligne sans aucune authentification nécessaire pour y accéder, comme l'a révélé Motherboard. Quant au fabricant de l’I-Que, Genesis, il a été obligé de retirer de la vente son produit « Mon ami Cayla » en Allemagne en février 2017 suite aux risques de piratage.

Les régulateurs ne sont pas en reste : le 19 octobre, le Norwegian Consumer Council (NCC) publiait un autre rapport alarmant au sujet des montres connectées pour enfants, qui présentaient les mêmes failles de sécurité béantes permettant à n’importe qui d’accéder aux données de ses utilisateurs. L’été dernier, enfin, c’est le FBI lui-même qui se fendait d’une étude au sujet des objets connectés et leur dangerosité, concluant que ces jouets « pouvaient mettre en danger la vie privée et la sécurité des enfants en raison du volume d’informations personnelles qui pourraient être révélées sans leur accord ».

« Je t'aime vraiment beaucoup ! » affirme Toy-Fi Teddy. Image : YouTube

Du côté des fabricants, évidemment, on assure que tout est sous contrôle. Hasbro, qui commercialise le Furby, explique que « la sécurité des enfants est une priorité absolue, ce pourquoi nous avons conçu le Furby Connect et le Furby Connect World App en accord avec les lois sur la vie privée des enfants. Nous sommes confiants quant à la capacité de nos produits d’offrir une expérience de jeu sans danger. » Même son de cloches chez les vendeurs britanniques, comme la chaîne Argos, qui précise « n’avoir reçu aucune plainte au sujet de ces produits », et chez l’association des vendeurs de jouets britannique. Tout va bien, donc, dans le monde des fabricants des jouets connectés, qui continuent de jouer la carte de la surdité face à l’amoncellement de rapports alarmistes.

Pour plus d'articles comme celui-ci, inscrivez-vous à notre infolettre.

Dans ces conditions, il ne reste que deux solutions pour sécuriser les futurs jouets des gosses du XXIe siècle : faire adopter aux instances européennes des normes de sécurité drastiques afin que chaque nouveau produit soit testé par des laboratoires indépendants, forçant ainsi les fabricants à sécuriser leurs futures créations – ou rappeler The Janitor, le hacker anonyme qui avait créé, pas plus tard que cette année, le programme BrickerBot, conçu pour s’attaquer à tous les objets connectés non-sécurisés et les rendre instantanément inopérants. Manière douce, manière forte : pour éviter que ces aspirateurs à données personnelles ne continuent de fleurir sur les rayons des magasins de jouets, il faudra bien trouver un remède.