Dans une enquête publiée mardi 14 novembre, une association britannique dénonce le manque de sécurité de certains jouets connectés.
Noël approchant, la sécurité des jouets connectés est dans le viseur des associations de consommateurs. Which?, un groupe de consommateurs britannique équivalent de « Que choisir » en France, a publié une enquête concernant le manque de sécurité de certains jouets connectés. L'association demande à faire retirer des ventes les produits incriminés.
Après 12 mois d'enquête sur les jouets connectés disposant du WiFi ou du Bluetooth en collaboration avec des experts en cybersécurité, Which? déclare avoir trouvé plusieurs “vulnérabilités préoccupantes” dans des produits vendus par de grandes enseignes.
Jouets connectés ne riment pas avec cybersécurité
La publication de l'association de consommateurs britannique se concentre sur quatre produits susceptibles de rencontrer un certain succès au pied des sapins de Noël : Furby Connect, la version connectée de cette célèbre peluche animée, I-Que intelligent Robot, un robot d'éveil, Toy-fi Teddy, un ours en peluche connecté, et CloudPets, des “doudous” concurrents.
Pour chaque objet connecté, Which? détaille les défauts répertoriés. L'association tire globalement la sonnette d'alarme. Avec tous ces jouets, un attaquant pourrait se servir de ces failles pour s'adresser vocalement aux enfants depuis les jouets connectés incriminés.
Il lui suffit de se connecter à distance au Bluetooth non sécurisé pour réussir à modifier le comportement des jouets connectés. Which? reproche aux constructeurs de ne pas avoir ajouté de mesure d'authentification pour protéger les jeunes utilisateurs. Il n'y a aucun moyen d'ajouter un mot de passe ou un code PIN pour verrouiller l'accès.
Les fabricants doivent-ils revoir leurs méthodes ?
Le pire selon Which?, c'est qu'il n'y a pas besoin de connaissances particulières en piratage pour prendre le contrôle d'un des jouets connectés. Il suffit de télécharger l'application et de se tenir dans un rayon de 10 mètres pour se connecter. Si les membres de l'association britannique semblent exagérer les mauvaises intentions du voisinage, ils craignent principalement le fait de pouvoir étendre la connectivité Bluetooth par le biais d'un réseau maillé ou autre et de “sniffer”, de rechercher les jouets connectés et de s'y connecter illégalement.
Le Furby Connect semble inquiéter les chercheurs en cybersécurité associés à cette enquête. Selon eux, en plus de pouvoir parler aux enfants, il serait possible de remplacer le firmware pour écouter les enfants. Hasbro, l'entreprise qui conçoit ce jouet connecté a rapidement répondu pour rassurer les parents en défendant le fait que le “Furby Connect et son application n'ont pas été développés pour collecter le nom de l'utilisateur, son adresse physique ou son adresse mail […] L'objet n'enregistre pas votre voix ou n'utilise pas le microphone de votre smartphone pour le faire”.
Contrairement aux avis d'autres experts en cybersécurité américains, les associations et les autorités préfèrent renforcer les normes concernant la plupart des objets connectés. Les concepteurs de produits intégrant des haut-parleurs et des microphones vont sûrement devoir revoir leur copie pour prévoir les interactions possibles avec les enfants.
- Partager l'article :