La peluche Teddy Toy-Fi a le regard tendre et la panse douce, mais méfiance : l’ourson pourrait bien se révéler être une taupe ! Ce doudou connecté, compatible avec le Bluetooth et le Wi-Fi, présente en effet d’importantes failles de sécurité informatique, comme l’a révélé « Stiftung Warentest », l’équivalent allemand de « Que Choisir ». Au total, l’institut de tests a mis à l’épreuve la sécurité des connexions et de la transmission des données de 7 jouets connectés, et a abouti à la même conclusion pour chacun d’entre eux. Aucun de ces robots, peluches ou poupées n’offre un niveau de sécurité acceptable.
Les jouets connectés inquiètent plus qu’ils n’amusent. Équipés de connexions Bluetooth et Wi-Fi, ces robots et peluches interagissent avec les enfants. À chacun sa vocation : l’ours en peluche Teddy Toy-Fi transmet les messages vocaux enregistrés par les parents depuis leur smartphone, via une application dédiée ; le robot i-Que raconte des blagues, propose des quizz et des jeux interactifs ; le dinosaure Cognitoys répond aux questions et fait travailler le vocabulaire… Tous se connectent à Internet pour puiser les réponses aux questions et retransmettre les messages stockés sur des serveurs distants. Seulement voilà, certains jouets connectés sont de vraies passoires. Trois des 7 modèles testés n’exigent ni mot de passe, ni code PIN pour une connexion Bluetooth. N’importe qui peut donc y accéder très facilement, même à travers les murs. Un voisin mal intentionné pourrait envoyer un message au robot i-Que et écouter les réponses de l’enfant. « Cette faille de sécurité est extrêmement critique, explique “Stiftung Warentest”. Toute personne qui possède un smartphone peut contrôler le robot, l’utiliser comme mouchard, adresser des questions, des invitations, voire des menaces à l’enfant ! » De même, n’importe qui peut envoyer des messages à l’ourson Toy-Fi. Quant au chien connecté Wowwee Chip, un tiers pourrait également en prendre le contrôle et diriger ses mouvements (mais pas communiquer avec l’enfant).
DES DONNÉES DANS LA NATURE…
« Stiftung Warentest » a par ailleurs constaté des problèmes de sécurisation des transmissions de données. Quatre des jouets testés sont concernés. Plus précisément, ce sont les applications qui servent à piloter ces jouets qui posent problème. Ces applis, disponibles sur l’App Store et le Google Playstore, collectent des données sur les utilisateurs (e-mail, âge des enfants, etc.) et sur les smartphones (identification, opérateur mobile). Certaines enregistrent également les paroles des enfants, des fichiers audio stockés sur des serveurs. Hello Barbie, la poupée connectée de Mattel, les met même à disposition des parents sur Internet (au cas où ils tiendraient à écouter leurs enfants à distance). Heureusement, aucune des applications testées n’envoie de données sans cryptage. Mais aucune n’exige non plus de mot de passe complexe (comprenant des caractères minuscules, majuscules, des caractères spéciaux, des chiffres). Dès lors, les découvrir est un jeu d’enfant pour des pirates un brin expérimentés. Nos collègues allemands ont aussi constaté, sur différentes applications, l’envoi d’informations à Google ou à des tiers à des fins publicitaires ainsi que le recours à des traceurs capables, a priori, de reconstituer les déplacements des parents.
… ET DU PIRATAGE DANS L’AIR
Ces négligences révèlent l’insouciance des …