Jouet connecté : attention danger ?

Après les jeux dangereux (inflammables,...) voici venue l'ère des jeux exposant à des cyberpirates. La très mauvaise nouvelle a été rapportée un mois tout juste avant ce Noël lorsqu'un pirate informatique s'était emparé d'informations concernant près de 6,5 millions de comptes d'enfants s'ajoutant aux 4,8 millions de comptes de parents, clients du fabricant de jouets électroniques VTech, basé à Hong Kong.

Entre autres données dérobées, des noms, adresses électroniques et postales, dates d'anniversaire, mots de passe... mais aussi des photos d'enfants et des enregistrements de voix.

Le pirate n'a pas pris le contrôle d'un jouet à distance. Il a attaqué un serveur distant, hébergé dans le cloud, où VTech entreposait ses données. Mais tout est bien qui finit bien, ou presque, dans cette affaire, parce qu'il assure avoir agi sans mauvaise intention. "Profiter de toutes ces données, ce n'est pas quelque chose que je fais. Surtout si des enfants sont concernés", parce que ce serait "moralement inacceptable", a-t-il déclaré au site spécialisé Motherboard.

Un pirate donneur de leçons à l'encontre de VTech ?

Le hacker resté anonyme dit qu'il a voulu donner une bonne leçon à VTech, après avoir constaté que sa boutique en ligne était étonnamment peu protégée, utilisant une technologie obsolète. "Je veux simplement que les problèmes soit connus et résolus", a-t-il ajouté, non sans menacer de frapper à nouveau. "Peut-être contre des concurrents de VTech, je ne sais pas..."

"C'est terrible de penser que ces enfants ont eu leurs données exposées avant même de savoir de quoi il s'agit", déplore Gavin Reid, spécialiste des menaces chez Lancope, une société de cybersécurité récemment rachetée par le géant américain des réseaux, Cisco. "C'est le nouvel ordre mondial dans la vie privée: il faut s'attendre à ce que tout ce que vous confiez à des organisations puisse être exposé à un certain point", ajoute-t-il.

Un risque de rançonnage est possible

D'où une question qui taraude les professionnels de la cybersécurité: faut-il exposer ses enfants? "Il y a beaucoup de rançonnage", s'inquiète Sean Sullivan, expert de la société finlandaise de sécurité informatique F-Secure. "Quelqu'un qui a accès aux données de vos enfants pourrait vous envoyer des photos et prétendre qu'il les a enlevés. Certaines personnes pourraient paniquer!"

Moins alarmistes, un certain nombre de ses confrères remarquent que les fichiers volés pourraient être revendus pour enrichir les fichiers marketing de sociétés peu regardantes. Comme le note Laurent Pellud, le patron de la société de sécurité informatique toulousaine Scassi, "une liste bien ciblée, ça vaut 20.000 euros. Est-ce que quelqu'un se préoccupe de l'origine? Absolument pas. Donc il y a du business derrière!"

D'où une supplique, unanime, du Cercle européen de la sécurité et des systèmes d'information, qui fédère les pourfendeurs de la cybercriminalité: "Il faut lire les conditions d'usage."

Bien lire la notice avant d'acheter

"Il est dangereux d'acheter un jouet sans penser aux aspects de sécurité", renchérit David Emm, analyste pour l'éditeur d'antivirus russe Kaspersky Lab. Aux parents de s'inquiéter des aspects connectiques, tout comme ils veillent à ce que leurs enfants ne puissent pas s'étouffer en avalant de trop petites pièces.

"Il faut se demander, à propos de nos enfants: quelles informations sont collectées? Comment cette information pourrait-elle être utilisée? Et, si le wifi est activé, est-il possible que quelqu'un l'utilise pour attaquer le reste de notre réseau?" estime ce spécialiste.

Parmi les exemples souvent cités de jouet qui ne pourrait pas garder ses secrets, la nouvelle poupée Barbie, connectée avec micro et haut-parleur. De nombreux spécialistes s'attendent à ce que des jouets soient directement hackés dans les prochains mois. D'autant que la sécurité informatique n'est pas la priorité de la plupart des fabricants, en l'absence de normes précises.