Jouets connectés Trop faciles à détourner

Jouets connectés

Trop faciles à détourner

Mis à jour le : 06/12/2017 

La peluche Teddy Toy-Fi a le regard tendre et la panse douce, mais méfiance : l’ourson pourrait bien se révéler être une taupe ! Ce doudou connecté, compatible avec le Bluetooth et le Wi-Fi, présente en effet d’importantes failles de sécurité informatique, comme l’a révélé « Stiftung Warentest », l’équivalent allemand de « Que Choisir ». Au total, l’institut de tests a mis à l’épreuve la sécurité des connexions et de la transmission des données de 7 jouets connectés, et a abouti à la même conclusion pour chacun d’entre eux. Aucun de ces robots, peluches ou poupées n’offre un niveau de sécurité acceptable.

 

Mise à jour du 6 décembre 2017

Alertée en décembre 2016 par l’UFC-Que Choisir, la Commission nationale de l’informatique et des libertés (Cnil) a mené ses propres investigations et constaté que la société Genesis Industries Limited, qui commercialise les jouets connectés Mon amie Cayla et iQue, ne respecte pas la loi Informatique et libertés. L’objectif de la collecte des données n’est pas assez précis ; ces données sont transférées aux États-Unis sans information des utilisateurs et la connexion Bluetooth des jouets n’est pas assez sécurisée. La Cnil a donc mis en demeure la société de se conformer à la loi Informatique et libertés dans un délai de deux mois.

Les jouets connectés inquiètent plus qu’ils n’amusent. Équipés de connexions Bluetooth et Wi-Fi, ces robots et peluches interagissent avec les enfants. À chacun sa vocation : l’ours en peluche Teddy Toy-Fi transmet les messages vocaux enregistrés par les parents depuis leur smartphone, via une application dédiée ; le robot i-Que raconte des blagues, propose des quizz et des jeux interactifs ; le dinosaure Cognitoys répond aux questions et fait travailler le vocabulaire… Tous se connectent à Internet pour puiser les réponses aux questions et retransmettre les messages stockés sur des serveurs distants. Seulement voilà, certains jouets connectés sont de vraies passoires. Trois des 7 modèles testés n’exigent ni mot de passe, ni code PIN pour une connexion Bluetooth. N’importe qui peut donc y accéder très facilement, même à travers les murs. Un voisin mal intentionné pourrait envoyer un message au robot i-Que et écouter les réponses de l’enfant. « Cette faille de sécurité est extrêmement critique, explique “Stiftung Warentest”. Toute personne qui possède un smartphone peut contrôler le robot, l’utiliser comme mouchard, adresser des questions, des invitations, voire des menaces à l’enfant ! » De même, n’importe qui peut envoyer des messages à l’ourson Toy-Fi. Quant au chien connecté Wowwee Chip, un tiers pourrait également en prendre le contrôle et diriger ses mouvements (mais pas communiquer avec l’enfant).

Des données dans la nature…

« Stiftung Warentest » a par ailleurs constaté des problèmes de sécurisation des transmissions de données. Quatre des jouets testés sont concernés. Plus précisément, ce sont les applications qui servent à piloter ces jouets qui posent problème. Ces applis, disponibles sur l’App Store et le Google Playstore, collectent des données sur les utilisateurs (e-mail, âge des enfants, etc.) et sur les smartphones (identification, opérateur mobile). Certaines enregistrent également les paroles des enfants, des fichiers audio stockés sur des serveurs. Hello Barbie, la poupée connectée de Mattel, les met même à disposition des parents sur Internet (au cas où ils tiendraient à écouter leurs enfants à distance). Heureusement, aucune des applications testées n’envoie de données sans cryptage. Mais aucune n’exige non plus de mot de passe complexe (comprenant des caractères minuscules, majuscules, des caractères spéciaux, des chiffres). Dès lors, les découvrir est un jeu d’enfant pour des pirates un brin expérimentés. Nos collègues allemands ont aussi constaté, sur différentes applications, l’envoi d’informations à Google ou à des tiers à des fins publicitaires ainsi que le recours à des traceurs capables, a priori, de reconstituer les déplacements des parents.

… Et du piratage dans l’air

Ces négligences révèlent l’insouciance des fabricants de jouets connectés qui pourrait, au final, coûter cher aux parents. Certaines applications proposent du contenu payant et sont donc susceptibles de stocker un numéro de carte de paiement. « Si les serveurs du fabricant sont mal sécurisés, des pirates peuvent accéder facilement aux comptes utilisateurs et, pourquoi pas, faire des achats sur le compte des parents », alerte « Stiftung Warentest ». Preuve que les jouets connectés intéressent les pirates : Spiral Toys, qui commercialise les peluches Cloudpets, en a déjà été la cible au début de l’année. Fin 2016, la poupée Mon amie Cayla a aussi été mise en cause : n’importe qui pouvait parler à travers la poupée et écouter les personnes autour d’elle via une simple connexion Bluetooth depuis un smartphone. En 2015, les serveurs de l’entreprise VTech avaient déjà été piratés. Ces problèmes de sécurité informatique sont inquiétants. C’est pourquoi, fin 2016, l’UFC-Que Choisir a saisi la Cnil (Commission nationale de l’informatique et des libertés) et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) afin qu’elles enquêtent sur la protection des données personnelles des utilisateurs de jouets connectés.

visu-jouets-connectes
Toy-Fi Teddy, i-Que Intelligent Robot, Wowwee Chip, Chaton Cloudpets, Cognitoys Dino, Fisher-Price Smart Toy Bear et Mattel Hello Barbie.