Imaginez un instant … Vous avez acheté à votre enfant de 3 ou 4 ans une peluche connectée. Depuis votre smartphone au boulot ou dans le salon, vous pouvez lui enregistrer des messages, ou bien vous parlez avec lui en direct. C’est agréable et sûrement très amusant pour lui comme pour vous. Imaginez un instant … un inconnu se met à discuter avec votre enfant. Sans forcément spéculer sur la pire situation, rien que d’y penser … on se sent déjà mal à l’aise.

À l’approche des fêtes de noël, il y a de fortes chances que beaucoup de jouets connectés soient offerts. Qu’ils soient élaborés par des marques bien connues, ou qu’ils soient made in China, ils seront d’abord conçus pour l’amusement, pas pour la sécurité.

Cette idée est à l’image de VTECH dont les données personnelles d’enfants et de parents avaient été exposées il y a déjà deux ans. 4 833 678 étaient concernés avec de la data comprenant des adresses, emails, dates d’anniversaire, prénoms, et aussi des photos.

Plus récemment, une femme s’est fait hacker sa caméra connectée. Le pirate s’était mis à lui parler et avait totalement pris le contrôle de l’objet. La grosse question pour la personne était surtout de savoir depuis combien de temps avait-elle été observée, et qu’avaient vu les hackers ?

Si mélange ces deux précédents cas, on peut très bien imaginer qu’une personne prenne le contrôle d’un jouet, et expose des enfants à des risques divers et variés. Soit il pourrait s’agir de manipuler, soit d’observer, soit de récupérer des données. Le risque est bien réel, comme le prouve un article du Guardian publié le 14 novembre. Le journal fait mention de tests poussés mis en place par l’association de consommateurs Which? en Allemagne. Il a été demandé à des experts d’étudier la sécurité informatique de jouets de différentes marques.

Des failles critiques ont été découvertes dans les Furby Connect de Hasbro, le petit robot i-Que, le Toy-Fi Teddy, ou encore les peluches CloudPets. Chacun des modèles propose une connectivité Bluetooth non sécurisée. Cela a fait que les chercheurs n’ont même pas eu besoin d’utiliser un mot de passe, ou un autre moyen d’authentification pour accéder aux jouets et ainsi échanger des messages avec un enfant.

Le Guardian détaille chaque possibilité offerte pour chaque jouet. Le Furby Connect permet de se connecter à n’importe quel appareil Bluetooth dans un rayon de 10 à 30 mètres. Côté i-Que, n’importe qui avec l’application dans son téléphone et à portée d’un robot peut s’y connecter en envoyer des messages. CloudPets peut aussi se faire hacker son Bluetooth pour recevoir des messages vocaux. Pour Toy-Fi Teddy, Which? pointe du doigt la faible sécurisation de son application permettant d’envoyer des messages à l’enfant, mais aussi d’en recevoir.

L’association de consommateurs a demandé aux distributeurs de retirer ces marques ou ces jouets et leurs références, mais il est probable que rien ne se passe. Noël est une période importante de l’année pour les fabricants et les revendeurs et ces produits devraient être à la mode. En revanche, les autorités nationales ou européennes pourraient très bien créer des normes pour protéger les consommateurs.

S’il ne s’agit ‘que’ de connectivité Bluetooth, qu’adviendra-t-il lorsqu’il s’agira du WiFi ? Sa portée et son interconnectivité pourraient grandement faciliter le piratage, surtout depuis la découverte d’une faille dans le WPA.

En l’absence de réglementation ou de normes, plus les objets connectés vont se propager, plus nous allons nous rendre compte que sécurité ne peut pas rimer avec profitabilité.