Alertée fin 2016 par une association de consommateurs, la CNIL vient d’annoncer la mise en demeure de Genesis Industries Limited, une société hong-kongaise qui produit deux jouets connectés, le robot « I-QUE » et la poupée « My Friend Cayla », pour non-respect de la vie privée.
En effet, cette interpellation intervient pour un défaut de sécurité, ainsi que pour l’absence d’informations à destination des utilisateurs sur le traitement de leurs données, et tout particulièrement sur le transfert des conversations enregistrées avec les enfants auprès d’un prestataire situé hors de l’Union Européenne.
Les objets connectés, dont le nombre passera à 20,4 milliards d’ici 2020 d’après Gartner, doivent être sécurisés de bout en bout, de leur conception à leur utilisation, comme n’importe quel autre terminal connecté à internet, tels que les ordinateurs ou les smartphones, car ils présentent les mêmes cyber-risques.
Le 25 décembre prochain au matin, les objets connectés compteront parmi les nombreux cadeaux que petits et grands pourront trouver sous leur sapin. Ces appareils physiques, connectés au réseau internet, sont conçus pour assister leurs utilisateurs dans leur quotidien ou enrichir leur expérience, à l’instar des deux jouets incriminés par la CNIL qui peuvent, par exemple, résoudre une addition soumise par l’enfant, ou encore lui indiquer quelle est la température dans une ville donnée. Pour ce faire, une application mobile associée cherche la réponse sur internet et la communique ensuite à l’enfant par l’intermédiaire de la poupée ou du robot. En d’autres termes, ces jouets intelligents collectent de nombreuses informations privées sur les petits et leur entourage.
Par définition, ces terminaux connectés à internet collectent des données personnelles, parfois même sensibles, comme celles liées à la santé, à des conversations privées, aux emplacements physiques par la géolocalisation ou des photos et vidéos, par exemple. Des informations qui intéressent les pirates informatiques, et autres individus malveillants ; à cet égard, l’Allemagne a déjà fait interdire les montres connectées pour enfants qui peuvent être facilement hackées. De plus, le niveau de cyberprotection varie d’un fabricant à l’autre, souvent afin de commercialiser le produit plus rapidement. Il arrive donc que les mêmes identifiants par défaut soient attribués à l’ensemble des jouets. Une manne pour les hackers, car les parents ne pensent pas nécessairement à les modifier.
Les entreprises doivent par conséquent intégrer la notion de sécurité dès la conception de leurs appareils ; elles peuvent par exemple rendre obligatoire la création d’un mot de passe complexe dès la première installation ou mise en service, et qu’il soit inutilisable sans cette action. L’instauration de mises à jour régulières des logiciels et l’application de patchs font également partie des mesures efficaces pour pallier les failles. D’autre part, il est nécessaire que les familles adoptent quelques bonnes pratiques pour garantir la sécurité de ces objets :
- Vérifier, au moment de l’achat, les protocoles d’identification du Bluetooth et s’assurer que le jouet choisi en propose un niveau élevé ;
- Attribuer des mots de passe forts, incluant symboles, chiffres et caractères, et les changer régulièrement ;
- Mettre à jour les logiciels de sécurité afin de bloquer les attaques ;
- Veiller que le réseau WiFi domestique au niveau du routeur est protégé en continu et en changer le mot de passe régulièrement ; plus un réseau comporte d’appareils connectés, plus la menace d’une attaque grandit. En outre, un terminal vulnérable met en danger l’ensemble des objets intelligents.
Ce sont des gestes simples finalement qui permettront aux utilisateurs de profiter de leur objet sans s’inquiéter de la sécurité de leurs informations et de la protection de leur vie privée. Les cybermenaces ne connaissent pas la trêve de Noël et ne font jamais de cadeaux, les bonnes habitudes ont donc besoin de s’inscrire dans la durée pour être efficaces. De plus, la sécurisation des objets connectés demande une réelle prise de conscience et une collaboration entre les constructeurs, les éditeurs de sécurité et les consommateurs pour lutter efficacement contre les vols de données. Les familles se protègent ainsi des personnes malveillantes qui essayeraient d’interagir avec leur enfant, de l’espionner à son insu, et de partager des informations enregistrées. Des intrusions qui sont à la fois des atteintes à la sécurité et à la vie privée.