Le Quotidien Indépendant Luxembourgeois
Offrir un jouet connecté n’est pas forcément sans risque, car des données personnelles des enfants peuvent être collectées et envoyées dans la nature, autant de cibles potentielles des pirates informatiques.
Un mois tout juste avant Noël, on a appris qu’un hacker s’était emparé d’informations concernant près de 5 millions de parents et près de 200 000 enfants, clients du fabricant de jouets électroniques VTech. Au Luxembourg, quelque 5 000 enfants ont été concernés. Entre autres données dérobées, des noms, adresses email et physiques, dates d’anniversaire, mots de passe… mais aussi des photos d’enfants et des enregistrements de voix.
Le hacker n’a pas pris le contrôle d’un jouet à distance. Il a attaqué un serveur distant -dans le « cloud »- où VTech entreposait ses données. Mais tout est bien qui finit bien, ou presque, dans cette affaire, puisqu’il assure avoir agi sans mauvaise intention. « Profiter de toutes ces données, ce n’est pas quelque chose que je fais. Surtout si des enfants sont concernés », parce que ce serait « moralement inacceptable », a-t-il déclaré au site spécialisé Motherboard. Le hacker resté anonyme dit avoir voulu donner une bonne leçon à VTech, après avoir constaté que sa boutique en ligne était étonnamment peu protégée, utilisant une technologie obsolète. « Je veux simplement que les problèmes soient connus et résolus », a-t-il ajouté, non sans menacer de frapper à nouveau. »
« C’est le nouvel ordre mondial dans la vie privée : il faut s’attendre à ce que tout ce que vous confiez à des organisations puisse être exposé à un certain point », préviennent les spécialistes de la cybersécurité. D’où une question, qui taraude les professionnels de la cybersécurité : faut-il exposer ses enfants ?
Lire la notice et se poser les bonnes questions
« Il y a beaucoup de rançonnage », s’inquiètent encore des experts de la sécurité informatique. « Quelqu’un qui a accès aux données de vos enfants pourrait vous envoyer des photos et prétendre qu’il les a enlevés. Certaines personnes pourraient paniquer ! » D’autres se font moins alarmistes, expliquant que les fichiers volés pourraient être revendus pour enrichir les fichiers marketing de sociétés peu regardantes. « Une liste bien ciblée, ça vaut 20 000 euros. Est-ce que quelqu’un se préoccupe de l’origine ? Absolument pas. Donc il y a du business derrière ! »
D’où une supplique, unanime, du Cercle européen de la sécurité et des systèmes d’information, qui fédère les pourfendeurs de la cybercriminalité : « Il faut lire les conditions d’usage. »
« Il est dangereux d’acheter un jouet sans penser aux aspects de sécurité », renchérit David Emm, analyste pour l’éditeur d’antivirus russe Kaspersky Lab. Aux parents de s’inquiéter des aspects connectiques, tout comme ils veillent à ce que leurs enfants ne puissent pas s’étouffer en avalant de trop petites pièces. « Il faut se demander, à propos de nos enfants : quelles informations sont collectées ? Comment cette information pourrait-elle être utilisée ? Et, si le wifi est activé, est-il possible que quelqu’un l’utilise pour attaquer le reste de notre réseau ? A-t-on vraiment besoin du wifi ? », énumère David Hamm.
Parmi les exemples souvent cités de jouet qui pourrait ne pas garder ses secrets, la nouvelle poupée Barbie, connectée avec micro et haut-parleur.
Nombreux sont ceux qui s’attendent à ce que des jouets soient directement hackés dans les prochains mois. D’autant que la sécurité informatique n’est pas la priorité de la plupart des fabricants, en l’absence de normes précises.
