- L'Internet des objets (IoT) modifie notre façon de vivre et de travailler. Des stimulateurs cardiaques intelligents aux trackers de fitness, des assistants vocaux aux sonnettes intelligentes, la technologie nous rend plus sains, plus sûrs, plus productifs et divertis.
Mais cela a aussi permis aux fabricants de proposer des nouveaux jouets pour nos enfants. Le marché mondial des jouets intelligents devrait atteindre plus de 24 milliards de dollars d'ici 2027. Mais lorsque la connectivité, les données et l'informatique se rencontrent, les problèmes de confidentialité et de sécurité ne sont jamais loin.
Peut-être songez-vous à acheter ces jouets pour vos enfants pour encourager leur apprentissage et leur créativité. Mais pour protéger vos données et votre vie privée (et la sécurité de votre enfant), il faut faire des recherches avant d’entrer dans le monde des jouets connectés
Les jouets intelligents et les risques sécuritaires
Les jouets intelligents sont parmi nous depuis quelques années. Comme pour tout appareil IoT, l'idée est d'utiliser sa connectivité et son intelligence pour offrir des expériences plus immersives, interactives et réactives. Cela peut comporter des fonctionnalités telles que :
• Des microphones et caméras qui reçoivent la vidéo et l'audio de l'enfant
• Des haut-parleurs et écrans pour relayer l'audio et la vidéo à l'enfant
• Bluetooth pour relier le jouet à une appli connectée
• Connectivité Internet au routeur Wi-Fi domestique (home Wi-Fi router)
La technologie permet aux jouets intelligents d’aller plus loin que les jouets inanimés avec lesquels nous avons grandi. Les enfants sont impliqués par le biais d'interactions dans les deux sens et acquièrent de nouveaux comportements en téléchargeant des fonctionnalités additionnelles d’Internet.
LECTURE CONNEXE : These things may be cool, but are they safe?
Malheureusement, les fabricants sont parfois regardant sur les garanties. Leurs produits peuvent contenir des vulnérabilités logicielles et/ou autoriser des mots de passe non sécurisés. Ils peuvent enregistrer des données et les envoyer secrètement à des tiers ; ils peuvent demander aux parents de saisir d'autres informations sensibles et les stocker de manière non sécurisée.
Quand les jouets tournent mal
Il y a plein d’exemples de ce qui peut se passer. En voici certains parmi les plus notoires :
● L'ours Fisher Price, conçu pour les enfants de 3 à 8 ans en tant qu'"ami d'apprentissage interactif, parle, écoute et 'se souvient' de ce que dit l’enfant et répond même lorsqu'on lui parle". Mais une faille dans l'appli smartphone connecté aurait pu permettre à des pirates d'accéder aux données des utilisateurs (flaw in the connected smartphone app).
● CloudPets a permis aux parents et aux enfants de partager des messages audio via un jouet en peluche. Cependant, la base de données utilisée pour stocker les mots de passe, les adresses mail et les messages était stockée de manière non sécurisée dans le cloud. Elle était exposée en ligne sans mot de passe pour la protéger (It was left publicly exposed online).
● My Friend Cayla, une poupée équipée de technologie intelligente, permettant aux enfants de lui poser des questions et de recevoir des réponses grâce à une recherche sur Internet. Les chercheurs ont découvert une faille permettant aux pirates d'espionner les enfants et leurs parents via la poupée. Le service allemand de protection des télécommunications a poussé les parents à se débarrasser de l'appareil pour des raisons de confidentialité. Cela s’est aussi produit avec une montre intelligente appelée Safe-KID-One en 2019.
À Noël 2019, le cabinet de conseil en sécurité NCC Group a étudié sept jouets intelligents et a trouvé 20 problèmes réels, dont deux «à haut risque» et trois à risque moyen. Il a trouvé ces problèmes courants (these common issues):
• Aucun cryptage à la création du compte et du processus de connexion, exposant les noms d'utilisateur et les mots de passe.
• Politiques de mot de passe faibles, les utilisateurs peuvent choisir des identifiants faciles à deviner.
• Politiques de confidentialité vagues, souvent non conformes à la règle US de protection de la vie privée en ligne des enfants (COPPA). D'autres ont enfreint la réglementation UK sur la confidentialité et les communications électroniques (PECR) en collectant passivement des cookies et d'autres informations de suivi.
• L'appariement de l'appareil (c'est-à-dire avec un autre jouet ou une autre application) était souvent effectué via Bluetooth sans authentification requise. Cela permettait à toute personne dans les environs de se connecter avec le jouet pour :
- Diffuser du contenu offensant ou dérangeant
- Envoyer des messages manipulateurs à l'enfant
• Dans certains cas (les talkies-walkies pour enfants), un étranger n'avait qu'à acheter un autre appareil pour pouvoir communiquer avec les enfants de la région ayant le même jouet.
• Les hackers pouvaient en théorie détourner un jouet intelligent doté de capacités audio pour pirater des maisons intelligentes, en envoyant des commandes audio à un système à commande vocale (par exemple, "Alexa, ouvre la porte d'entrée").
Comment réduire les risques de confidentialité et de sécurité de ces jouets
Les jouets intelligents représentent un certain degré de risques pour la sécurité et la confidentialité. Suivez ces bonnes pratiques pour éviter les menaces :
• Faites des recherches avant d'acheter : vérifiez s'il y a eu des avis négatifs ou des recherches effectuées sur les informations d'identification de sécurité et de confidentialité de l’objet.
• Sécurisez votre routeur. Cet appareil, le cœur de votre réseau domestique (central to your home network), communique avec tous les appareils connectés à Internet de votre maison.
• Éteignez l’appareil : lorsqu'il n'est pas utilisé, éteignez l'appareil pour minimiser les risques.
• Familiarisez-vous avec le jouet : et assurez-vous que les enfants plus jeunes soient surveillés.
• Vérifiez les mises à jour : si le jouet en reçoit, assurez-vous qu'il exécute la dernière version du micro logiciel.
• Choisissez une connectivité sécurisée : assurez-vous que les appareils utilisent l'authentification lors du couplage via Bluetooth et utilisent des communications cryptées avec le routeur domestique.
• Sachez où les données sont stockées : quelle est la réputation de l'entreprise en matière de sécurité.
• Utilisez des mots de passe forts et uniques lors de la création du compte.

Les jouets intelligents peuvent être éducatifs et divertissants. En vous assurant que vos données et vos enfants sont en sécurité, vous pourrez profiter de leur plaisir.
Lecture complémentaire : IoT security: Are we finally turning the corner?
Privacy by Design: Can you create a safe smart home?

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/ .