Éditorial N°2 – RGPD et nounours connectés

  Après quarante ans d’activités, la loi informatique et libertés tire sa révérence. Depuis le vendredi 25 mai, ce texte adopté en janvier 1978 a été remplacé par un texte européen qui uniformise les règles en vigueur dans les 28 pays membres de l’Union Européenne : le Règlement général sur la protection des données personnelles, (RGPD).

Auparavant, les entreprises devaient prévenir la CNIL à chaque fois qu’elles créaient un fichier contenant des renseignements sur leurs membres, clients, employés ou administrés. Gare à ceux qui s’aventureraient à ne pas respecter les règles énoncées. Alors que la loi informatique et libertés ne permettait jusqu’à présent que de sanctionner les contrevenants d’une faible amende, concernant le RGPD, les contraventions pourront grimper jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise.

Préserver la conformité RGPD au-delà de la date butoir du 25 mai, c’est garantir une sécurité des données personnelles plus résiliente, à l’heure où les scandales sur la compromission de données ne cessent de défrayer la chronique. L’affaire Cambridge Analytica en est un parfait exemple. Plus récemment, une société commercialisant des peluches connectées, Spiral Toys a été accusée par plusieurs associations de consommateurs d’espionnage. Les peluches qu’elles commercialisent, Cloud Pets seraient truffées de failles de sécurité. L’ONG Electronic Frontier Foundation a ainsi appelé plusieurs revendeurs des peluches dont Amazon, Walmart et Target, à stopper sa vente après que celle-ci ait été jugé vulnérable.

Les peluches connectées de CloudPets enregistrent les interactions avec les enfants. L’entreprise Spiral Toys stockait ces conversations dans le Cloud sans aucune mesure de protection particulière. Les fichiers en question étaient stockés sur une base de données MongoDB sans mot de passe et sans pare-feu… Il existe donc un risque de piratage via la connexion Bluetooth de l’appareil, ce qui permettrait à des pirates d’enregistrer à distance les conversations des propriétaires des peluches. Enfin, le nom de domaine du site d’aide à l’installation est en vente et pourrait donc être récupéré par des personnes mal intentionnées.

Ces enregistrements se sont retrouvés sur Shodan, un moteur de recherche consacré aux vulnérabilités des sites Web et des serveurs. Le plus inquiétant est que l’entreprise Spiral Toys était au courant de la présence de vulnérabilités sur ces peluches selon Mozilla et l’entreprise allemande de cybersécurité Cure53. Une situation délétère qui souligne à la fois le manque de sécurité des objets connectés et le manque de sensibilisation voir la couardise des fabricants d’objets connectés. On imagine les conséquences de ce manque d’implication des entreprises dans le secteur industriel ou encore dans l’armement.