[JOUETS CONNECTES] Quand l’espionnage prend la forme d’une poupée connectée

De plus en plus populaires aux pieds de nos sapins, les jouets intelligents figurent parmi la  liste de cadeaux de nos chers enfants, avides de gadgets connectés, remplaçant la traditionnelle poupée ou l’ours en peluche. Cependant, à l’image d’autres solutions connectées, ces derniers sont également très vulnérables. Ces dernières années, des associations de défense des consommateurs européens et américains ont révélé plusieurs cas de négligences chez certains fabricants. En se connectant par Bluetooth, à l’aide d’un simple smartphone, au jouet en question, les pirates peuvent communiquer à travers les jouets connectés. Ils peuvent ainsi récupérer des informations et parler directement avec votre enfant.

A titre d’exemple, en 2015, Mattel voulait lancer une Barbie connectée, la Hello Barbie. Pour ce projet, elle avait travaillé avec ToyTalk, une entreprise qui développe des logiciels de reconnaissance vocale. Afin de pouvoir discuter avec le jouet connecté, l’enfant doit maintenir un bouton tout en parlant. Le fichier audio est ensuite envoyé aux serveurs de l’entreprise qui renvoient une réponse  diffusée par le haut-parleur de la poupée. Un chercheur américain en sécurité informatique, Matt Jakubowski, avait affirmé pouvoir entrer dans le logiciel et prendre le contrôle du microphone, et ainis, s’adresser directement au propriétaire de la poupée…

Certaines agences gouvernementales ont réagi en interdisant la commercialisation de jouets jugés très vulnérables.  En 2017, le régulateur des télécoms allemand, le Bundesnetzagentur, avait annoncé l’interdiction des montres intelligentes pour les enfants. L’agence a en effet annoncé qu’elle considérait ces montres comme des périphériques d’espionnage, et a demandé aux parents de les détruire. La même année,  la Commission nationale de l’informatique et des libertés (CNIL) avait mis en demeure l’entreprise Genesis Industries Limited, créatrice de « Ma Poupée Cayla » et du robot « I-Que », pour “atteinte grave à la vie privée en raison d’un défaut de sécurité”.  Le Conseil norvégien des consommateurs avait également dénoncé les publicités dissimulées dans le système qui équipe « Ma Poupée Cayla ».

Quelques règles d’hygiène informatique basiques peuvent limiter les risques de cyberattaque contre les jouets connectés. Le moyen le plus simple consiste donc à sécuriser le réseau domestique en le séparant sur un réseau distinct. Il est recommandé de conserver les données sensibles sur un système distinct des autres appareils IoT. Autre préconisation, les particuliers devraient systématiquement changer les mots de passe installés « par défaut » sur tous les appareils connectés commercialisés, notamment par des mots de passe forts (16 caractères par exemple) et le changer régulièrement. Il est également recommandé de s’assurer que les applications mobiles associées à de tels appareils ne disposent pas des autorisations nécessaires qui leur permettraient de collecter nos informations personnelles de manière abusive. De même, il est vivement conseillé de procéder très régulièrement à la mise à jour des objets connectés.

La Commission nationale informatique et liberté (CNIL) vient de publier récemment sur son site Internet une série de recommandations à mettre en œuvre pour protéger la vie privée des enfants et sensibiliser les parents aux risques inhérents. Au regard de l’intérêt de grandes multinationales pour les objets connectés à destination des plus jeunes et des failles de sécurité révélées, il semble falloir craindre davantage la manipulation des données des enfants à des fins commerciales plutôt que l’espionnage.