Les jouets intelligents vont compter parmi les incontournables de Noël. Alors que les fabricants rivalisent pour offrir les fonctionnalités les plus originales pour séduire enfants et parents, les pirates eux lorgnent sur les nombreuses vulnérabilités des derniers jouets connectés qu’ils vont pouvoir exploiter. Les jouets connectés sont peut-être les cadeaux les plus originaux et les plus au goût du jour, mais mieux vaut y réfléchir à deux fois avant de les inscrire sur la liste du Père Noël...
La quasi-totalité des jouets intelligents est vulnérable !
Les jouets intelligents comportent un grand nombre de vulnérabilités. Équipés d’une connexion en Bluetooth ou en Wi-Fi, les jouets intelligents intègrent appareils photo, microphones, fonctionnalités de collecte des données, dispositifs de localisation, etc. Ces éléments très prisés permettent d’offrir une expérience stimulante aux enfants. Le problème est que les fabricants ne se préoccupent pas de la sécurité lorsqu’ils conçoivent leurs produits. La plupart des jouets - et plus globalement des objets - connectés sont mis en vente sans tenir compte des critères de sécurité les plus basiques. Cela coûte en effet plus cher et retarde leur mise sur le marché. Et de toute manière, le consommateur n’est pas vraiment prêt à payer plus cher pour la simple garantie d’une meilleure sécurité...
Le jouet connecté ouvre la porte du foyer aux pirates
Les chercheurs alertent régulièrement sur les vulnérabilités présentes dans les jouets connectés.
L’oiseau parlant Teksta Toucan est l’un des jouets ayant récemment fait l’objet d’un rapport alertant sur un risque élevé de piratage par Bluetooth. Le microphone et les haut-parleurs intégrés du Toucan permettent aux pirates de lancer des fichiers audio, de parler aux enfants ou encore d’espionner le foyer en écoutant les conversations, une fois leur appareil connecté au jouet en Bluetooth.
Précédemment, le même chercheur avait identifié les risques présentés par la poupée Cayla et le robot intelligent I-Que, tous deux ayant été sanctionnés par la CNIL pour « atteinte grave à la vie privée ». Une affaire qui avait beaucoup fait parler, mais qui n’a vraisemblablement pas révolutionné la conception des jouets pour autant.
De nombreuses vulnérabilités ont également été identifiées dans le lapin intelligent Karotz, dans l’ours intelligent de Fisher-Price (vulnérabilité annoncée comme corrigée par Fisher-Price), dans la poupée connectée Hello Barbie de Mattel et ToyTalk et dans les ours en peluche de CloudPets. Des failles de sécurité dans ces appareils peuvent permettre aux pirates de dérober des informations personnelles telles que le nom et la date de naissance, de lancer des attaques de phishing, d’espionner les utilisateurs et de communiquer avec les enfants.
Toujours peu de réglementations strictes en matière de sécurité des objets connectés
Les recherches sur les objets connectés ont démontré que la grande majorité des vulnérabilités détectées concernent le firmware, ou micrologiciel. Ce programme est intégré par le fabricant dans un objet connecté et nécessaire à son fonctionnement. Il est donc très important, lorsqu'on choisit des objets connectés, d'étudier la politique de sécurité de l'entreprise qui a fabriqué l'objet ; le produit dispose-t-il d'un suivi et les mises à jour sont-elles régulières ? etc.
Mais le problème majeur réside dans le fait qu’il n’existe toujours aucune norme, ni contrôle de sécurité pour 90% des appareils disponibles sur le marché. Les fabricants développent des applications et des appareils, mais ils n’ont que peu d’expérience en ce qui concerne le fonctionnement de la sécurité, quand pire encore, ils n’ignorent pas tout du sujet.
Les jouets intelligents sont une pièce importante du puzzle. Les consommateurs, fascinés par le grand nombre de fonctionnalités, se précipitent pour acheter les appareils sans jamais se pencher sur les certifications de sécurité. Il est certain que les fournisseurs doivent mettre en place un processus adéquat de réponse aux incidents, mais les consommateurs doivent également être informés sur la façon dont ils peuvent garantir la sécurité de leurs appareils.
Quelques conseils pour se prémunir face à ces potentielles attaques
Dans le meilleur des cas, les microphones, les appareils photo et les dispositifs de localisation peuvent être désactivés afin de freiner les pirates, mais il existe quelques vulnérabilités logicielles contre lesquelles l’utilisateur ne peut pas faire grand-chose.
Quelques actions indispensables sont tout de même possibles comme de vérifier que le jouet a été acheté auprès d’une source de confiance, d’étudier la politique de sécurité du fabricant, de modifier les identifiants par défaut par un nouveau nom d’utilisateur et un mot de passe fort et d’activer l’authentification à deux facteurs. Et devant la prolifération des objets connectés au sein du foyer, l’idéal est aujourd’hui de mettre en place une solution de sécurité globale pour toute la maison permettant de protéger de la même manière l’ensemble des objets connectés à Internet contre les malwares, les usurpations d’identité et les failles de sécurité.
La France et l’Allemagne ont d’ores et déjà pris des mesures contre les jouets intelligents présentant des vulnérabilités. Les autorités de régulation allemandes sont allées jusqu’à les interdire suite à des incidents avec I-Que et Cayla.
En poursuivant la sensibilisation autour de la sécurité en général, et notamment des jouets et objets connectés, les utilisateurs vont également gagner en vigilance et en compétences, pour être progressivement capables de s’éloigner des produits n’inspirant pas confiance au profit de produits plus respectueux…