Les jouets se comportent mal : comment les parents peuvent protéger leur famille contre les menaces de l’IdO

L’Internet des objets (IoT) change notre façon de vivre et de travailler. Des stimulateurs cardiaques intelligents aux trackers de fitness, des assistants vocaux aux sonnettes intelligentes, la technologie nous rend plus sains, plus sûrs, plus productifs et divertis.

Dans le même temps, cela a également permis aux fabricants de commercialiser de nouveaux jouets flashy pour nos enfants. La marché mondial des jouets intelligents devrait connaître une croissance en pourcentage à deux chiffres, dépassant les 24 milliards de dollars américains d’ici 2027. Mais lorsque la connectivité, les données et l’informatique se rencontrent, la confidentialité et problèmes de sécurité ne sont jamais loin.

Il y a de fortes chances que vous envisagiez vous aussi d’acheter un de ces jouets pour vos enfants et d’encourager ainsi leur apprentissage et leur créativité. Cependant, pour protéger vos données et votre vie privée (et la sécurité de votre enfant !), il vaut mieux faire quelques recherches avant de se lancer dans le monde des jouets connectés.

Que sont les jouets intelligents et quels sont les cyber-risques ?

Les jouets intelligents existent depuis plusieurs années. Comme tout appareil IoT, l’idée est d’utiliser la connectivité et l’intelligence sur l’appareil pour offrir des expériences plus immersives, interactives et réactives. Cela pourrait inclure des fonctionnalités telles que :

• Microphones et caméras qui reçoivent la vidéo et l’audio de l’enfant
• Haut-parleurs et écrans pour relayer l’audio et la vidéo à l’enfant
• Bluetooth pour relier le jouet à une application connectée
• Connectivité Internet au routeur Wi-Fi domestique

Avec ce type de technologie, les jouets intelligents peuvent aller au-delà des jouets inanimés avec lesquels la plupart d’entre nous ont grandi. Ils ont le pouvoir d’impliquer les enfants par le biais d’interactions dans les deux sens et même d’acquérir de nouvelles fonctionnalités ou de nouveaux comportements en téléchargeant des fonctionnalités supplémentaires sur Internet.

Malheureusement, les fabricants peuvent lésiner sur les garanties dans la course au marché. Par conséquent, leurs produits pourraient contenir des vulnérabilités logicielles et/ou autoriser des mots de passe non sécurisés. Ils peuvent enregistrer des données et les envoyer secrètement à des tiers, ou ils peuvent demander aux parents de saisir d’autres informations sensibles, mais les stocker ensuite de manière non sécurisée.

Quand les jouets tournent mal

Il y a eu plusieurs exemples dans le passé de ce qui se passe. Certains des plus notoires sont :

• L’ours en peluche Fisher Price a été conçu pour les enfants âgés de 3 à 8 ans comme “un ami d’apprentissage interactif qui parle, écoute et” se souvient “de ce que dit votre enfant et répond même lorsqu’on lui parle”. Cependant, un faille dans l’application smartphone connecté aurait pu permettre à des pirates d’obtenir un accès non autorisé aux données des utilisateurs.
• CloudPets permettait aux parents et à leurs enfants de partager des messages audio via un doudou. Cependant, la base de données principale utilisée pour stocker les mots de passe, les adresses e-mail et les messages eux-mêmes était stockée de manière non sécurisée dans le cloud. Il a été laissé publiquement exposé en ligne sans aucun mot de passe pour le protéger.
• My Friend Cayla est une poupée pour enfant équipée d’une technologie intelligente, permettant aux enfants de lui poser des questions et de recevoir des réponses, via une recherche sur Internet. Cependant, les chercheurs ont découvert une faille de sécurité qui pourrait permettre aux pirates d’espionner les enfants et leurs parents via la poupée. Il a conduit l’Allemand chien de garde des télécoms pour inciter les parents pour bin l’appareil sur les problèmes de confidentialité. La même chose s’est produite avec une montre intelligente appelée Safe-KID-One en 2019.

À Noël 2019, le cabinet de conseil en sécurité NCC Group a mené une étude sur sept jouets intelligents et a trouvé 20 problèmes notables, dont deux considérés comme «à haut risque» et trois à risque moyen. Il a trouvé ces problèmes communs:

• Aucun cryptage lors de la création de compte et du processus de connexion, exposant les noms d’utilisateur et les mots de passe.
• Politiques de mot de passe faibles, ce qui signifie que les utilisateurs peuvent choisir des identifiants de connexion faciles à deviner.
• Politiques de confidentialité vagues, souvent non conformes à la règle américaine de protection de la vie privée en ligne des enfants (COPPA). D’autres ont enfreint la réglementation britannique sur la confidentialité et les communications électroniques (PECR) en collectant passivement des cookies Web et d’autres informations de suivi.
• L’appariement de l’appareil (c’est-à-dire avec un autre jouet ou une autre application) était souvent effectué via Bluetooth sans authentification requise. Cela pourrait permettre à toute personne à portée de se connecter avec le jouet pour :
• Diffuser du contenu offensant ou dérangeant
• Envoyer des messages manipulateurs à l’enfant
• Dans certains cas (par exemple, les talkies-walkies pour enfants), un étranger n’aurait qu’à acheter un autre appareil dans un magasin pour pouvoir communiquer avec les enfants de la région avec le même jouet.
• Les attaquants pourraient théoriquement détourner un jouet intelligent doté de capacités audio pour pirater des maisons intelligentes, en envoyant des commandes audio à un système à commande vocale (par exemple, “Alexa, ouvre la porte d’entrée”).

Comment atténuer les risques de confidentialité et de sécurité des jouets intelligents

Les jouets intelligents représentant un certain degré de risques pour la sécurité et la confidentialité, tenez compte des conseils de bonnes pratiques suivants pour contrer les menaces :

• Faites vos recherches avant d’acheter : Vérifiez s’il y a eu une publicité négative ou des recherches effectuées sur les informations d’identification de sécurité et de confidentialité du modèle.
• Sécurisez votre routeur. Cet appareil est au cœur de votre réseau domestique et communique avec tous les appareils connectés à Internet de votre maison.
• Éteignez les appareils : Lorsqu’il n’est pas utilisé, éteignez l’appareil pour minimiser les risques.
• Familiarisez-vous avec le jouet : En même temps, assurez-vous que tous les petits enfants sont sous surveillance.
• Vérifiez les mises à jour : Si le jouet peut les recevoir, assurez-vous qu’il exécute la dernière version du micrologiciel.
• Choisissez une connectivité sécurisée : Assurez-vous que les appareils utilisent l’authentification lors du couplage via Bluetooth et utilisent des communications cryptées avec le routeur domestique.
• Comprendre où les données sont stockées : Et quelle réputation l’entreprise a pour la sécurité.
• Utilisation mots de passe forts et uniques lors de la création des comptes.
• Minimisez la quantité de données que vous partagez : Cela réduira votre exposition au risque si les données sont volées et/ou si l’entreprise est piratée.

Les jouets intelligents peuvent en effet être éducatifs et divertissants. En vous assurant d’abord que vos données et vos enfants sont en sécurité, vous pourrez vous asseoir et profiter du plaisir.