Jouets connectés : pourquoi vous seriez bien inspiré d’en tenir vos enfants éloignés

Atlantico : Une société d’ours en peluche connectés a été récemment piratée, les messages laissés par les parents à leurs enfants sont désormais hackables. Ce n’est pas la première fois que ce type de piratage arrive, pour protéger nos enfants, devrions-nous les éloigner de ce type de jouets connectés ?

Franck Decloquement : Les objets connectés – autrement dit ‘IOT’ pour « l’Internet des objets » ou « Internet of Things », ‘IOT’ en anglais –  sont des objets électroniques connectés sans fil qui partagent des informations avec un ordinateur, une tablette ou un Smartphone... L'Internet des objets est en partie responsable d'un accroissement exponentiel du volume de données généré sur le réseau, à l'origine du Big data. Ils sont en outre capables de percevoir, d'analyser et d'agir selon les différents contextes et notre environnement. Mais sont-ils aussi des espions parmi nous ? Dans le cadre de l’émergence rapide de « l'Internet des objets », cette question de l’espionnage domestique est en effet centrale pour les organismes de réglementation, les entreprises mais aussi pour tous les parents soucieux d’assurer le bien d’être de leurs enfants, tout en assurant efficacement leur protection.

Lorsque que l’on envisage une incursion dans l'internet des objets, nous nous devons de relever une multitude de défis liés à la sécurité, à la protection et au respect de la vie privée. L'internet des objets est la clé de voûte de très nombreuses innovations technologiques à venir. Toutefois, l'univers connecté amène aussi dans ses bagages, de nombreux périls en matière de sécurité des données, tant pour les entreprises que pour les particuliers. On n’imagine pas toujours en effet que derrière une innocente poupée à la bonne bouille et aux vêtements colorés, ou un mignon petit ourson en peluche au regard aimant, que puisse en réalité se tapir un dangereux mouchard électronique à la solde de quelques prédateurs… De véritables armes de prédation électronique, en somme. La plupart des parents comprennent instinctivement les dangers sous-jacents qui planent sur leurs progénitures quand ils les laissent utiliser les réseaux sociaux à leur guise, et sans surveiller leurs activités. Instinctivement, beaucoup d’entre eux ne publieront d’ailleurs jamais en ligne, des photos de famille ou apparaissent leurs enfants, car ils ont parfaitement conscience que des prédateurs malveillants peuvent à tout moment accéder à ces données personnelles, et en faire un usage délictueux…

Dans l’affaire qui nous intéresse, rappelons les faits : L’expert Troy Hunt, spécialiste de la cybersécurité et responsable de la base de données « Have I been pwned ? » qui compile des principales failles et violations affectant  les entreprises clientes de l’Internet, a révélé au grand jour lundi dernier, un problème affectant une série de jouets en peluche « CloudPets »,  fabriqués par la société américaine « Spiral Toys ». Les jouets « CloudPets », permettent en outre aux parents de communiquer à distance avec leurs enfants. Les conversations ont été enregistrées et stockées à l’aide de mots de passe utilisateurs cryptés, sur un serveur non protégé qui appartenait à la société Roumaine « mReady ». Les mots de passe de celle-ci étaient particulièrement simples à « casser ». Troy Hunt a ainsi pu écouter quelques-uns des messages émis par les enfants à en direction de leurs parents… comme aurait pu aisément le faire un prédateur malveillant, ayant la volonté de communiquer avec des enfants… Apparemment, cette base de données très exposée aux piratages, était très simple à situer et aurait déjà fait l’objet de plusieurs tentatives de rackets pour obtenir une rançon de Spiral Toys… Selon un rapport trimestriel qu’elle aurait déposé durant l'été 2016, la micro-entreprise déficitaire avait cessé de fabriquer des jouets depuis cette date. Mais cela ne résout en rien le problème des parents ayant acquis ces « jouets-mouchards-connectés », toujours propriétaires de jouets « CloudPets » encore présent dans leurs foyers...

L’affaire n’est cependant pas exceptionnelle en soi puisque d’autres jouets de marque « Genesis », issus de la gamme « i-Que », ont également fait l’objet d’un dépôt de plainte aux États-Unis, auprès de la « Federal Trade Commission ». Et cela même, alors qu'un régulateur allemand « l'Agence fédérale des réseaux », a purement et simplement interdit de son côté « Cayla », affirmant qu’il s’agissait sur le fond d’un dispositif d'espionnage électronique manifeste. L’agence de régulation a également déclaré qu'elle était en « phase teste » pour d'autres jouets connectés, afin de détecter d’éventuels dispositifs électroniques similaires… On pense aussi à la société VTech, fabriquant du « Kidzoom DX », une sorte de « smartwatch » pour enfants. Cet objet « tendance » qui fut très populaire auprès des familles, à l’occasion des achats de Noel avait été piraté en 2015, fournissant dans la foulée des milliers de données connectées sur des centaines de milliers d'enfants qui en avaient fait usage.

Comment pouvons-nous restreindre la possibilité de piratage de données pour ce type d’objet ?

Tout d’abord, il est nécessaire de comprendre ce qui se passe actuellement. « Il y a besoin de les sensibiliser et de se renseigner sur les règles de sécurité de base. Par exemple, il faut éteindre les objets dès qu’on n’en a plus besoin. Il est aussi essentiel de choisir des mots de passe compliqués. Même s’il est vrai qu’on est saturé de codes à retenir. Cela peut paraître sans importance, jusqu’à ce qu’on rencontre des problèmes. Autre chose, il faut chercher les objets qui possèdent un haut niveau de sécurité ou de cryptage. Mais, malheureusement, il n’y a pas encore de norme à ce niveau, comme le DCT pour les téléphones portables », prévenait le spécialiste Stéphane Przybyszewski dans les colonnes du journal Ouest France, Expert en intelligence économique et stratégique pour la Fédération Française de Psycho-criminalistique (FFPC). Les objets connectés ont manifestement de beaux jours devant eux : montres, bracelets, chaussures, lunettes, Tee-shirts intelligents, ces objets high-tech ; dit aussi « intelligents » ; envahissent petit à petit et insidieusement tous nos foyers. Et particulièrement les chambres de nos enfants et de nos adolescents. Ils font aujourd'hui intégralement partie nos vies quotidiennes, de nos foyers, et seront encore plus présents en leur sein dès demain. C’est une tendance lourde et quasiment inéluctable. Leur utilité et leur valeur d’usage seront bientôt parfaitement indissociables de nos existences pour leurs côtés pratiques, ludiques et technologique. Faut-il pour autant s’inquiéter des objets connectés ? « Selon l’Agence nationale de la sécurité des systèmes d’information, 80 % des objets connectés présentent des failles. D’ici 10 ans, on devrait avoir 150 milliards d’objets à travers le monde. Et les constructeurs ne sont pas tous soucieux de la question de leur sécurité ».  On l’a d’ailleurs constaté avec la voiture connectée de marque « Tesla » Model S que des chercheurs chinois ont réussi à pirater lors de la conférence « Defcon hacking » d’août 2015. Une intrusion numérique de haut vol qui a ainsi permis de se connecter au réseau de cette voiture électrique haut de gamme, de la démarrer, et d’y insérer un virus Trojan « cheval de Troie » d'accès à distance, via le réseau. D'autres failles non testées autoriseraient encore l’accès à distance du véhicule... Tesla a réagi immédiatement en diffusant une mise à jour « over the air » de ses véhicules… Mais qui sont au juste les hackers ?  « Plusieurs profils s’adonnent au piratage. Certains le font par défi, pour montrer leurs compétences et se faire connaître. D’autres sont des chercheurs et veulent démontrer des failles dans les systèmes. Et, dans ce cas-là, c’est bénéfique pour les constructeurs et les utilisateurs […] Enfin, il y a ceux qui ont l’intention de nuire », concluait Stéphane Przybyszewski.

En matière de normes, des travaux sont en cours au niveau de l’Union européenne d’ici à quatre à cinq ans. Peut-être plus tôt si d’aventure, une affaire de piratage très grave venait à affleurer dans les médias… Mais cela prendra du temps, car existe de très gros intérêts économiques en jeu. Celui qui impose sa norme impose évidemment ses produits. Ceci a d’ailleurs été le cas en ce qui concerne les chargeurs de téléphones mobiles. Il aura fallu batailler pour n’en conserver qu’un seul modèle, compatible avec toutes les autres marques, Apple excepté. Pour les objets connectés, c’est un peu la même ritournelle. Les différentes marques vont faire pression pour conserver ou imposer leurs propres normes. Il est en revanche essentielle que ces travaux aboutissent explique en substance Stéphane Przybyszewski, « car on va devoir faire face à de plus en plus de problèmes, notamment éthiques. De plus, que faire des données récoltées, grâce à des objets connectés, dans le domaine de la santé ? » On touche en effet  ici à l’intime, à la protection des familles et à la vie privée des gens… L’affaire est donc sérieuse admet l’expert que nous avons pu interroger.

D’autres secteurs sont aussi visé par ces nouvelles vulnérabilités numériques : « les voitures piratées ne sont pas les seuls objets connectés potentiellement meurtriers, les équipements médicaux possèdent également des vulnérabilités offrant aux acteurs malveillants la possibilité de les détourner et les contrôler, avec des conséquences critiques ». Aux Etats-Unis, le cardiologue de Dick Cheney alors vice-président a ainsi fait désactiver la liaison Wi-Fi du pacemaker de son patient, par crainte d’une cyberattaque pouvant entrainer le décès de son patient. « L’expert en sécurité informatique chez IO Active, Barnaby Jack s'était déjà livré à une démonstration plutôt inquiétante lors du congrès « Breakpoint 2012 », démontrant la possibilité de pirater un stimulateur cardiaque à distance. Une démonstration destinée à sensibiliser les entreprises concernées à la cybersécurité face aux risques d'assassinat anonyme », reprend le spécialiste Stéphane Przybyszewski. En outre, le chercheur en sécurité Billy Rios s’est intéressé aux pompes à perfuser. Le spécialiste y a trouvé des failles de sécurité importantes qui permettraient en outre à un pirate de « modifier à distance » la dose de médicaments administrés aux patients… Plusieurs fabricants de pompes à perfusion ont été informés de cette faille,  certains ont corrigé les vulnérabilités, mais d'autres ont en revanche déclaré ne pas être concernés par ce genre de menaces...

Concrètement, les objets connectés sont une porte ouverte à notre intimité. Quels sont les dangers liés à ce type d’objets ?

Les possibilités d'intimidation, d'extorsion de fonds, voire même de kidnapping via l’usage espion d’un jouet connecté piraté sont infinies… Toutes les possibilités en la matière sont permises. Mais les données personnelles des adultes peuvent également être la cible potentielle pour des actions de « captation malveillantes », quand l’objet s’introduit dans les usages domestiques d’un foyer. Et ceci, compte tenu de sa praticité. On relève même un cas connu dans lequel un « jouet-robot » connecté à Internet a été utilisé par des pirates malintentionnés pour prendre une photo des clés de l'appartement d’un malheureux particulier. Alors que l'Internet ne se prolonge habituellement pas au-delà du monde électronique, l'Internet des objets connectés représente en réalité les échanges d'informations et de données provenant de dispositifs présents dans « le monde réel » vers le réseau Internet. Considéré comme la troisième évolution de l'Internet, aussi baptisé « Web 3.0 » – parfois perçu comme la généralisation du Web des objets mais aussi comme celle du « Web sémantique » – qui fait suite à l'ère du « Web social », l'Internet des objets revêt un caractère universel pour désigner des objets connectés aux usages variés, dans le domaine de la « e-santé », de la « domotique » ou du « quantified self ». Aussi, et tout particulièrement dans ce nouvel écosystème digital, les adultes et les parents sont censés être « des personnes qualifiées » et averties en matière de risques numériques auxquels ils exposent – souvent sans le savoir – leurs enfants… Et ceci, à un rythme particulièrement soutenu pourtant. Fin 2015, le cabinet d’expertise « Juniper Research » avait estimé la taille du marché des « jouets intelligents » à 2,8 milliards de dollars, et prédit que celui-ci dépasserait vite les 11 milliards de dollars en 2020. En ce début de millénaire, les objets connectés représentent d’ailleurs un immense espoir pour tous les fabricants de jouets, car les nouvelles générations de parents, le plus souvent eux-mêmes « digital Native », font généralement beaucoup plus confiance dans les apports de la technologie que les générations précédentes.

L’armée dans le viseur.

À l’identique des objets connectés d’usage « civile » ou « grand public », les équipements militaires ne sont pas épargnés. De récentes nouvelles d’Edward Snowden ont permis à l’armée israélienne de découvrir que leurs drones avaient été piratés par ses alliés anglais et américains. « Les armes sont également concernées. Les hackers Runa Sandvik et Michael Auger ont ainsi pris le contrôle d'un fusil de précision ‘TrackingPoint Wi-Fi’, permettant en outre de désactiver l’arme, lui imposer de manquer sa cible, ou de désigner une cible différente », nous indiquait Stéphane Przybyszewski. « Aujourd'hui, des processeurs connectés ont envahi le monde réel. Ils sont désormais intégrés, partout, tout le temps. Ils animent nos jouets, pilotent nos voitures, et intègrent notre corps. L’ampleur du phénomène des objets connectés a définitivement introduit les vulnérabilités numériques dans notre monde physique » conclut inquiet, le spécialiste de la FFPC.