Comme toutes les fins d’année, le marché des jouets d’enfants est en ébullition. Cette année les jouets intelligents, connectés à internet s’arrachent comme des petits pains. Pourtant, comme tout ce qui concerne les objets connectés, ces jouets représentent des risques innombrables et majeurs en matière de cybersécurité.

« Bonjour Barbie », Adieu vie privée

Un mois avant Noël, un hacker a annoncé avoir violé les serveurs d’un grand fabricant de jouets pour enfants, exposant plus de 4,8 millions de comptes, notamment des noms, les adresses, e-mails et mots de passe des parents ainsi que des noms, sexes et dates anniversaires de plus de 200.000 enfants. Le hacker a dit détenir des fichiers de plus de 300 GB contenant des informations sur les comptes bancaires, des dizaines de milliers de photographies d’enfants et leurs parents, sans oublier les messages privés.

A la même période, un chercheur affirmait avoir trouvé plusieurs signes de vulnérabilité concernant un nouveau jouet dénommé « Bonjour Barbie ». La poupée est conçu pour écouter parler des enfants, envoyer ce discours à un serveur central où il est traité, puis renvoyer une réponse à la poupée qui parle ensuite à l’enfant. En substance, « Bonjour Barbie » est doté d’un dispositif de microphone sans fil lié à un service de stockage de données installé dans « les nuages ».

toys03

Le chercheur a affirmé que les mesures de sécurité telles que décrites par le fabricant sont biaisées, le traitement par le service à distance est un leurre et que, de fait, le lien entre la poupée avec le serveur distant est totalement violé. Ce qui signifie que la poupée a un micro ouvert qui permet à n’importe qui de parler directement à un enfant.

Peu importe si ces affirmations sont exactes ou non, cependant il est avéré que les paroles des enfants ainsi stockées dans le cloud (service de stockage à distance) ne sont ni automatiquement détruit ni stocker dans le cadre d’une archive audio pour améliorer le produit au fil du temps. La  politique de confidentialité autorise le fabricant à partager ces enregistrements intimes avec d’autres entreprises partenaires afin, notamment, d’améliorer la reconnaissance vocale. Les entreprises partenaires, à leur tour, peuvent également stocker ces enregistrements et en faire ce que bon leur semblent.

La violation de la CGU

Comme avec tout jouet, « Bonjour Barbie » est amené à être utilisé dans les jeux de groupe où il finira par enregistrer les voix d’autres enfants dont les parents ne peuvent pas avoir accepté les conditions générales d’utilisation de la poupée et même ne pas être au courant que la voix de leurs enfant a été enregistrée. Il ne faut pas avoir beaucoup d’imagination pour imaginer ce qu’une telle poupée pourrait enregistrer quand un enfant passe la journée dans le bureau d’un parent, assis dans l’arrière coure d’une réunion d’affaires hautement confidentielles…

Les enfants qui sont généralement des êtres spontanément ouverts sont également susceptibles de tout dire à  leurs jouets, notamment les secrets concernant leurs parents que ces derniers ne souhaiteraient certainement pas partager avec des tiers.