Jouets connectés, attention danger !

Que doit-on craindre pour nos chères têtes blondes ? Comment envisager l’acquisition de tels produits ? Quelles précautions prendre pour protéger au mieux nos enfants ? Éléments de réponse avec Pierre-Yves Amiot, Lexsi.

Après les objets connectés, voici venu le temps des jouets connectés… Pour faire face à la vague des drones, tablettes et autres montres intelligentes, les fabricants de jouets ont, pour certains, pris le virage de la connectivité en proposant leurs premiers jouets connectés : Barbie, Cayla… Mais qu’attendre de ces acteurs qui débarquent en terre inconnue ? Que doit-on craindre pour nos chères têtes blondes ? Comment envisager l’acquisition de tels produits ? Quelles précautions prendre pour protéger au mieux nos enfants ? Éléments de réponse.

On se souvient tous du fait divers survenu en avril 2014 dans une famille américaine prise de panique lors du piratage de leur babyphone… c’était le premier fait d’arme d’un pirate sur un objet connecté… depuis la liste n’a pas cessé de s’allonger et les jouets connectés font maintenant partis des cibles.

Dernièrement la société Vtech a été victime d’une cyber-attaque. Ce n’est pas tant l’exploit du pirate qui a « fait le buzz » mais plutôt le type de données dérobées. En effet, 6.3 millions de comptes d’enfants ont été volés lors de cette attaque. Cet acte de malveillance, loin d’être un exploit technique (injection SQL), révèle cependant la perméabilité des systèmes de sécurité du fabriquant. Il y a fort à parier que de nombreuses sociétés du même secteur (i.e jouets connectés) seront prochainement victimes de cyber attaques.

Décryptage d’un mode opératoire et des risques à craindre

Vivid Toy Group avançait en terre inconnue, ou presque, avec sa poupée Cayla. Deux modes de connexion sont possibles : hors ligne et en ligne. Hors ligne, la poupée peut interagir sur des jeux prédéfinis et disponibles sur l’application associée, ou disserter sur des photos qui s’affichent sur un terminal distant. En ligne, la poupée peut répondre à des questions simples. Seulement, un chercheur en sécurité a réussi à montrer que la poupée était piratable, et répondait des insanités aux questions des enfants. Il était en effet possible de modifier localement la base de données des réponses et insérer du texte libre. Pire encore, une attaque « Man In The Middle », où le cybercriminel se place entre la poupée et les bornes Wi-Fi, permet également de modifier le comportement de Cayla puisque les connexions ne sont pas chiffrées.

Une société avertie en valant deux, Mattel a pris garde de ne pas réitérer les mêmes erreurs avec Barbie. Puisque les bases de données ne sont pas conservées localement, et parce que les communications sont chiffrées, impossible de reproduire le même exploit. Seulement l’application associée, « Hello Barbie », utilisait des identifiants d’authentification pouvant être utilisés par des cybercriminels. Il était également possible de connecter le terminal mobile à tout réseau Wi-Fi comprenant le mot « Barbie » dans son nom. Et ce n’est pas tout : du côté des serveurs de la société, il était possible de créer une attaque « POODLE ». Cette attaque, découverte fin 2014, permet d’usurper les cookies d’identification et de prendre la main sur les comptes sans mots de passe. Toutes les informations des enfants étaient donc potentiellement lisibles pas un individu mal intentionné.

Le piratage des jouets connectés a de nombreuses conséquences, plus ou moins graves selon les priorités de chacun. Tout d’abord, et nous le voyons dans le cas de « My Friend Cayla », il est possible pour un cybercriminel de s’adresser directement à l’enfant et de lui faire passer des messages spécifiques. Selon les intentions du pirate, ces messages peuvent être particulièrement néfastes ou peuvent avoir des finalités criminelles, pédophiles par exemple. Les données personnelles provenant de la base de données Vtech contenaient, par exemple, le sexe de l’enfant, son âge, et parfois des photographies associées, autant d’éléments qui justifient une prise de conscience des risques que posent ces jouets disposant de microphones ou de caméras.

Mais les jouets ne sont parfois qu’une cible annexe et non prioritaire : les données qu’ils contiennent ont une valeur financière bien plus importante. En effet, la plupart des jouets connectés sont également liés à des applications et à des informations personnelles enregistrées lors de la création d’un compte. Ces informations sont largement utilisées à des fins d’usurpation d’identité, de monétisation de bases de données ou d’exploitation directe par certains hackers. Le prix de ces informations fluctue en fonction de la quantité de données personnelles associées aux comptes. Ainsi, sur les black markets, si la valeur d’un compte comprenant nom, prénom, date de naissance, adresse email et numéro de sécurité sociale peut s’échanger pour 20 dollars environ, ce prix peut atteindre le double pour un enfant, puisque ces informations resteront naturellement inchangées tout au long de la vie.

Dernier point d’attention, la multiplication des surfaces d’attaque : on le voit, le nombre d’objets connectés, dont font partie les jouets. D’après Gartner près de 6,4 milliards d’objets connectés seront sur le marché l’année prochaine. Aucun constructeur ne souhaite passer à côté de ce relai de croissance, quitte à sacrifier la sécurité sur l’autel de la rentabilité. Ce sont donc autant de vulnérabilités que vous laissez rentrer dans votre habitation, qui communiquent pour la plupart avec l’extérieur et peuvent en dire long sur notre vie domestique.

C’est pourquoi nous devons rester vigilants face à la prolifération de ces jouets (et à la demande de nos enfants), ne pas prendre à la légère les problématiques liées à la sécurité informatique que posent ces nouveaux jouets… qui peuvent réellement mettre en danger nos enfants. Si l’on apprend à nos enfants à ne pas parler aux inconnus dans la rue, refusons de laisser un inconnu jouer avec lui dans sa chambre !