Les jouets connectés posent un vrai risque de cybersécurité

epa07231592 «Dans le monde des objets connectés, c’est-à-dire l’Internet des objets, la moindre petite faille peut être exploitée pour porter atteinte à la société toute entière» [EPA-EFE/ROBERT GHEMENT]

Le manque de législation pour protéger les enfants de leurs jouets connectés pourrait avoir des conséquences dramatiques.

Ursula Pachl, directrice-générale adjointe du Bureau européen des unions de consommateurs (BEUC) a soulevé des problèmes urgents concernant la vulnérabilité des jouets « connectés », comme les poupées parlantes, les montres GPS et les petits robots intelligents.

« Il y a toute une série de problèmes graves concernant les jouets pour enfants ayant la possibilité d’enregistrer et de transférer des données », explique-t-elle. « Le mieux, c’est de laisser ce genre de produits hors de la maison pour l’instant ! »

L’angle mort du bluetooth

Ursula Pachl se réfère notamment à une étude du Conseil norvégien des consommateurs en 2016 dans laquelle sont exposées les failles de sécurité de plusieurs jouets en tête des ventes.

La poupée « mon amie Cayla » est un jouet interactif connecté à un téléphone via bluetooth. Elle parle, répond aux questions de l’enfant grâce à un accès à Internet, via lequel elle récolte des données sur Wikipédia, par exemple.

Le jouet est toujours disponible à la vente dans de nombreux pays, malgré « l’absence de fonctions de sécurité  basiques », selon Ursula Pachl. En outre, les utilisateurs peuvent difficilement effacer les données récoltées par la poupée.

Le même rapport conclut que ces données peuvent être facilement interceptées par un autre signal bluetooth.

L'Europe renforce la cybersécurité des objets connectés

Les représentants des institutions européennes se sont mis d’accord pour mettre en place une certification des objets connectés.

« N’importe qui, dans un périmètre de 15 mètres, peut se connecter au jouet pour autant que ce dernier soit allumé sans être connecté à un autre appareil », explique le rapport. « Il suffit d’allumer le bluetooth sur son téléphone et d’appuyer sur le nom de la poupée pour pouvoir lancer n’importe quel fichier audio via la poupée, qui se transforme alors en enceinte connectée à distance. »

Cela signifie qu’un étranger hors de la maison où se trouve la poupée aurait la possibilité de se connecter, d’extraire les données contenues dans la mémoire du jouet et d’y injecter ses propres messages. « Donc un inconnu peut prendre le contrôle du jouet pour communiquer avec votre enfant », conclut Ursula Pachl.

Chine

Et les risques ne se cantonnent pas aux jouets étudiés dans ce projet de recherche. Le fait est qu’un « bon niveau de sécurité des produits destinés aux enfants est plutôt rare, étant donné qu’ils sont produits en Chine à bas prix », poursuit la directrice-adjointe du BEUC.

D’après les estimations, 80 % des jouets du monde entier sont produits en Chine. Le pays est depuis longtemps sous le feu des critiques pour ses normes de cybersécurité jugées trop faibles. Début décembre, Andrus Ansip, commissaire en charge du marché unique numérique, a déclaré aux journalistes que « l’Europe devrait s’inquiéter » des risques de cybersécurité touchant de près ou de loin les entreprises chinoises.

Ansip promets des règles de cybersécurité paneuropéennes

Une semaine avant la présentation d’une série de propositions législatives sur la cybersécurité, Andrus Ansip a assuré que les nouvelles règles n’empièteraient pas trop sur les prérogatives des autorités nationales.

En outre, le Centre national de la cybersécurité au Royaume-Uni et d’autres bureaux similaires, ont révélé l’existence d’une cyber-campagne chinoise visant la propriété intellectuelle ainsi que des données commerciales délicates en Europe, en Asie et aux États-Unis.

« Cette campagne de piratage est l’une des plus importantes attaques de cyber-intrusion contre le Royaume-Uni et ses alliés jamais révélées au grand jour. Elle cible les secrets d’affaires et les économies du monde entier », a déclaré le ministre britannique des Affaires étrangères, Jeremy Hunt.

« Ces activités illicites doivent cesser. Elles vont à l’encontre des engagements pris par la Chine en 2015 au G20 de 2015, de ne pas tenter ni soutenir de cyber-vol de propriété intellectuelle ou de données couvertes par le secret des affaires ».

Avec toute cette mauvaise publicité concernant la Chine, les inquiétudes liées à un marché dominé par la Chine sont fondées.

« Les jouets importés doivent être vérifiés. La sécurité doit être intégrée aux objets connectés », estime Ursula Pachl, avant de rappeler que même si l’UE dispose d’une directive sur la sécurité des jouets, elle devrait aussi avoir une législation qui garantit la protection adéquate en cas de mauvaises intentions de puissances étrangères.

« Tout ce qui atterrit sur le marché européen ne doit pas seulement être sans danger, mais aussi sécurisé », martèle-t-elle.

Les cyberattaques se multiplient contre les gouvernements européens

Les services de sécurité allemands ont révélé que les réseaux gouvernementaux et militaires avaient été la cible d’une série de cyberattaques en novembre, soulevant ainsi des questions sur l’état de leur sécurité.

Législation européenne

Il est peu probable que la législation de l’Union européenne en matière de cybersécurité apaise les inquiétudes.

La loi européenne sur la cybersécurité, adoptée récemment, prévoit un système de certification pour certaines gammes de produits. « Cela ne sera pas suffisant », juge Ursula Pachl.

« Il faut plus que des mesures volontaires », assure-t-elle. « Il est très peu probable que la Commission évalue des produits bon marché comme les jouets pour enfants ».

À ses yeux, les consommateurs doivent être mieux informés sur les risques à la vie privée que comportent les jouets qu’ils offriront à Noël. La directrice-adjointe du BEUC espère voir la cybersécurité devenir un jour une « préoccupation grand-public ». Ne pas le faire, dit-elle, pourrait avoir des conséquences à grande échelle, et nuirait non seulement à nos enfants, mais plus généralement à la civilisation.

« Dans le monde des objets connectés, c’est-à-dire l’Internet des objets, la moindre petite faille peut être exploitée pour porter atteinte à la société toute entière », affirme Ursula Pachl.

Subscribe to our newsletters

Subscribe