Comme toutes les fins d’année, le marché des jouets d’enfants est en ébullition. Cette année les jouets intelligents, connectés à internet s’arrachent comme des petits pains. Pourtant, comme tout ce qui concerne les objets connectés, ces jouets représentent des risques innombrables et majeurs en matière de cybersécurité.

« Bonjour Barbie », Adieu vie privée

Un mois avant Noël, un hacker a annoncé avoir violé les serveurs d’un grand fabricant de jouets pour enfants, exposant plus de 4,8 millions de comptes, notamment des noms, les adresses, e-mails et mots de passe des parents ainsi que des noms, sexes et dates anniversaires de plus de 200.000 enfants. Le hacker a dit détenir des fichiers de plus de 300 GB contenant des informations sur les comptes bancaires, des dizaines de milliers de photographies d’enfants et leurs parents, sans oublier les messages privés.

A la même période, un chercheur affirmait avoir trouvé plusieurs signes de vulnérabilité concernant un nouveau jouet dénommé « Bonjour Barbie ». La poupée est conçu pour écouter parler des enfants, envoyer ce discours à un serveur central où il est traité, puis renvoyer une réponse à la poupée qui parle ensuite à l’enfant. En substance, « Bonjour Barbie » est doté d’un dispositif de microphone sans fil lié à un service de stockage de données installé dans « les nuages ».

toys03

Le chercheur a affirmé que les mesures de sécurité telles que décrites par le fabricant sont biaisées, le traitement par le service à distance est un leurre et que, de fait, le lien entre la poupée avec le serveur distant est totalement violé. Ce qui signifie que la poupée a un micro ouvert qui permet à n’importe qui de parler directement à un enfant.