{"id":6948,"date":"2017-04-28T08:49:50","date_gmt":"2017-04-28T08:49:50","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=6948"},"modified":"2017-09-24T11:57:20","modified_gmt":"2017-09-24T11:57:20","slug":"kids-devices-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/kids-devices-vulnerabilities\/6948\/","title":{"rendered":"Les jouets pour enfants font face \u00e0 de s\u00e9rieux probl\u00e8mes de confidentialit\u00e9"},"content":{"rendered":"<p>Compte tenu de la r\u00e9glementation g\u00e9n\u00e9rale et des lois destin\u00e9es \u00e0 prot\u00e9ger la vie priv\u00e9e des enfants en particulier, vous pourriez penser que les appareils \u00e9lectroniques et les jouets connect\u00e9s sont particuli\u00e8rement fiables et s\u00fbrs. Nous consid\u00e9rons g\u00e9n\u00e9ralement la vie priv\u00e9e des enfants comme \u00e9tant sacr\u00e9e, les enfants sont particuli\u00e8rement vuln\u00e9rables aux annonceurs, marketeurs, pr\u00e9dateurs, et plus encore.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-6949\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/04\/06093807\/kids-data-leaks-featured.jpg\" alt=\"\" width=\"1460\" height=\"960\">A cause de nouvelles fuites de donn\u00e9es qui voient le jour, il est de plus en plus \u00e9vident qu\u2019on ne peut pas faire confiance aux fabricants pour prendre soin de notre s\u00e9curit\u00e9, ou de celle de nos enfants. Analysons quelques exemples pour comprendre les mauvaises surprises que peuvent nous r\u00e9server les jouets intelligents.<\/p>\n<p><strong>Espionnage<\/strong><\/p>\n<p>En d\u00e9cembre 2016, les d\u00e9fenseurs de la vie priv\u00e9e <a href=\"https:\/\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">ont d\u00e9pos\u00e9 une plainte aupr\u00e8s de la Federal Trade Commission des Etats-Unis contre Genesis Toys<\/a>, fabricant des <a href=\"https:\/\/www.kaspersky.fr\/blog\/my-friend-cayla-risks\/6744\/\" target=\"_blank\" rel=\"noopener\">poup\u00e9es Cayla<\/a> et des robots jouets i-Que. Nuance Communications a \u00e9galement \u00e9t\u00e9 mis sur le banc des accus\u00e9s, cette entreprise est \u00e0 l\u2019origine de la technologie de reconnaissance vocale permettant aux jouets de converser avec les enfants.<\/p>\n<p>Les plaignants ont \u00e9t\u00e9 plut\u00f4t clairs depuis le d\u00e9but\u00a0: \u00ab\u00a0<a href=\"https:\/\/epic.org\/privacy\/kids\/EPIC-IPR-FTC-Genesis-Complaint.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Cette plainte concerne les jouets qui espionnent<\/a>\u00ab\u00a0.<\/p>\n<p>Analysons les \u00e9l\u00e9ments de cette plainte\u00a0:<\/p>\n<ul>\n<li>L\u2019application que les poup\u00e9es Cayla utilisent pour interagir n\u00e9cessite une autorisation pour acc\u00e9der aux fichiers enregistr\u00e9s sur un appareil, et l\u2019application i-Que demande l\u2019autorisation d\u2019acc\u00e9der \u00e0 la cam\u00e9ra de l\u2019appareil. Le vendeur n\u2019explique pas pourquoi les applications ont besoin de ces autorisations. De plus, l\u2019autorisation d\u2019acc\u00e9der \u00e0 la cam\u00e9ra n\u2019est pas cit\u00e9e sur le site web officiel ou dans la vid\u00e9o de d\u00e9monstration.<\/li>\n<li>Pour se connecter \u00e0 un smartphone ou \u00e0 une tablette, les jouets utilisent le Bluetooth, une connexion non s\u00e9curis\u00e9e qui ne requiert pas d\u2019authentification. De plus, le jouet n\u2019avertit pas les utilisateurs lorsqu\u2019il se connecte \u00e0 l\u2019appareil. Ce manque de s\u00e9curit\u00e9 peut permettre \u00e0 un intrus non pas seulement d\u2019\u00e9couter mais aussi de parler au jouet.<\/li>\n<li>Les jouets font de la publicit\u00e9, en citant plusieurs noms de marques pendant la conversation.<\/li>\n<li>L\u2019application de la poup\u00e9e Cayla incite les enfants \u00e0 fournir des informations personnelles identifiables\u00a0: noms des parents, lieu de r\u00e9sidence, nom de l\u2019\u00e9cole, et plus encore.<\/li>\n<li>Les deux applications envoient des enregistrements de conversations aux serveurs de Nuance Communication o\u00f9 ils sont analys\u00e9s afin d\u2019am\u00e9liorer les r\u00e9ponses. Les enregistrements sont stock\u00e9s sur les serveurs, \u00e0 nouveau dans le but d\u2019am\u00e9liorer le service.<\/li>\n<li>Les fabricants ne parviennent pas \u00e0 expliquer clairement le type de donn\u00e9es qu\u2019ils recueillent aupr\u00e8s des enfants.<\/li>\n<\/ul>\n<p>Les capacit\u00e9s d\u2019espionnage de Genesis Toys \u00e9taient une raison suffisante pour que les r\u00e9gulateurs allemands interdisent compl\u00e8tement la vente. Ceux qui poss\u00e8dent des jouets non s\u00e9curis\u00e9s ont \u00e9t\u00e9 invit\u00e9s \u00e0 <a href=\"https:\/\/www.kaspersky.fr\/blog\/my-friend-cayla-risks\/6744\/\" target=\"_blank\" rel=\"noopener\">se d\u00e9barrasser d\u2019eux<\/a>. Le gouvernement allemand identifie de tels jouets comme \u00e9tant des dispositifs de surveillance dissimul\u00e9s, qui sont interdits par la loi.<\/p>\n<p>En d\u00e9cembre 2016, la protection des consommateurs de la Norv\u00e8ge avait d\u00e9j\u00e0 exprim\u00e9 ses inqui\u00e9tudes face aux probl\u00e8mes de confidentialit\u00e9 des poup\u00e9es Cayla et des robots i-Que.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/lAOj0H5c6Yc?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>A contrario, la British Toy Retailers Association <a href=\"http:\/\/www.bbc.com\/news\/world-europe-39002142\" target=\"_blank\" rel=\"noopener nofollow\">a signal\u00e9 \u00e0 la BBC<\/a> que Cayla ne \u00ab\u00a0comportait pas de risques particuliers\u00a0\u00bb.<\/p>\n<p><strong>Ins\u00e9curit\u00e9<\/strong><\/p>\n<p>Lors d\u2019un autre incident de s\u00e9curit\u00e9, le mot \u00ab\u00a0fuite\u00a0\u00bb \u00e9tait un mot faible pour d\u00e9crire l\u2019ampleur de la faille. Pour aller plus loin dans la m\u00e9taphore, ce fut une rupture catastrophique de barrage qui a provoqu\u00e9 une inondation, voire m\u00eame un d\u00e9luge de donn\u00e9es personnelles. Ou pour \u00eatre plus pr\u00e9cis, il n\u2019y avait pas de barrage pour commencer.<\/p>\n<p>Les CloudPets de Spiral Toys sont des animaux en peluche qui \u00e9changent des messages entre les enfants et les parents. Le jouet se connecte aux smartphones des parents via le Bluetooth, et les parents utilisent une application sp\u00e9ciale pour se connecter au jouet.<\/p>\n<p>C\u2019est sans doute une excellente fa\u00e7on pour les parents de rester en contact avec leurs enfants, cependant le contenu recueilli par le syst\u00e8me n\u2019\u00e9tait pas s\u00e9curis\u00e9 correctement. La base de donn\u00e9es des informations sur les utilisateurs n\u2019\u00e9tait pas du tout prot\u00e9g\u00e9e. Personne ne pouvait se connecter au serveur sans s\u2019identifier, consulter les donn\u00e9es, ou dupliquer la base de donn\u00e9es et la sauvegarder sur un autre ordinateur.<\/p>\n<p>Le chercheur en s\u00e9curit\u00e9 Victor Gevers a signal\u00e9 le probl\u00e8me au vendeur le 31 d\u00e9cembre 2016. Ensuite, Troy Hunt, un expert en s\u00e9curit\u00e9 reconnu, a re\u00e7u d\u2019une source anonyme un fichier contenant <a href=\"https:\/\/www.troyhunt.com\/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages\/\" target=\"_blank\" rel=\"noopener nofollow\">plus d\u2019un demi-million d\u2019enregistrements d\u2019utilisateurs de ClouPets<\/a>. En plus du nom des enfants, chaque enregistrement comportait une date de naissance et des informations sur les proches des enfants avec qui ils avaient parl\u00e9 par le biais du jouet. Le nombre total d\u2019enregistrements d\u2019utilisateurs pirat\u00e9s de CloudPets a d\u00e9pass\u00e9 la barre des 800 000.<\/p>\n<p>Un inconnu en possession du mot de passe peut t\u00e9l\u00e9charger tous les messages envoy\u00e9s par le biais du jouet. Contrairement aux autres donn\u00e9es, les mots de passe des utilisateurs ont \u00e9t\u00e9 hach\u00e9s dans le but de les prot\u00e9ger. Le hachage offre une certaine protection, m\u00eame si les attaques par force brute peuvent toujours d\u00e9voiler des mots de passe, en particulier ceux qui sont simples.<\/p>\n<p>Malheureusement, il est \u00e9galement possible d\u2019\u00e9couter des conversations sans le mot de passe. Il s\u2019av\u00e8re que les enregistrements des messages et des images ont \u00e9t\u00e9 enregistr\u00e9s dans le Cloud sur un Amazon S3. Le d\u00e9tracteur n\u2019avait qu\u2019\u00e0 cliquer sur un lien provenant de la base de donn\u00e9es pirat\u00e9e pour obtenir un fichier audio du serveur. Le nombre total d\u2019enregistrements disponibles a d\u00e9pass\u00e9 les 2 000 000.<\/p>\n<p>Bien s\u00fbr, ce ne sont pas seulement les hackers au chapeau blanc qui ont appris le concept d\u2019ins\u00e9curit\u00e9. Le serveur stockant les donn\u00e9es des enfants s\u2019est retrouv\u00e9 en pagaille, des copies de donn\u00e9es ayant \u00e9t\u00e9 supprim\u00e9es et des demandes de ran\u00e7on \u00e9tablies. La base de donn\u00e9es a \u00e9t\u00e9 par la suite supprim\u00e9e, bien que des copies puissent encore subsist\u00e9es.<\/p>\n<p>Spiral Toys n\u2019a pas r\u00e9pondu aux personnes qui essayaient de lui signaler le probl\u00e8me, parmi elles se trouvaient Gevers, Hunt, l\u2019informateur d\u2019Hunt et le journaliste Lorenzo Franceschi-Bicchierai. En Mars 2017, le S\u00e9nat am\u00e9ricain a demand\u00e9 \u00e0 Spiral Toys d\u2019\u00eatre transparent sur les fuites de donn\u00e9es et sa politique de protection des donn\u00e9es. Troy Hunt <a href=\"http:\/\/files.troyhunt.com\/03.07.17%2520BN%2520Letter%2520to%2520Spiral%2520Toys%2520re%2520Data%2520Breach.pdf\" target=\"_blank\" rel=\"noopener nofollow\">a publi\u00e9<\/a> le texte de cette demande.<\/p>\n<p>Spiral Toys a fini par r\u00e9pondre, au procureur g\u00e9n\u00e9ral de Californie. DataBreaches.net <a href=\"https:\/\/www.databreaches.net\/spiral-toys-sends-something-to-the-california-attorney-general-but-what-is-it\/\" target=\"_blank\" rel=\"noopener nofollow\">a publi\u00e9 la r\u00e9ponse<\/a>. L\u2019entreprise a d\u00e9clar\u00e9 qu\u2019elle avait \u00e9t\u00e9 inform\u00e9e de l\u2019incident le 22 f\u00e9vrier dernier par Franceschi-Bicchierai, qui avait \u00e9t\u00e9 tenu au courant du piratage par le biais d\u2019une source anonyme. M\u00eame si un certain nombre de chercheurs en s\u00e9curit\u00e9 ont essay\u00e9 de contacter l\u2019entreprise avant le 22 f\u00e9vrier, Spiral Toys avait d\u00e9clar\u00e9 qu\u2019il n\u2019avait jamais re\u00e7u de messages et qu\u2019il enqu\u00eatait sur le motif.<\/p>\n<p>Comme l\u2019a soulign\u00e9 Spiral Toys, la fuite faisait partie d\u2019une attaque massive sur les versements de MongoDB partout sur Internet. Selon l\u2019entreprise, les messages vocaux et les images n\u2019ont pas \u00e9t\u00e9 affect\u00e9s, du fait qu\u2019ils \u00e9taient stock\u00e9s sur un autre serveur. La base de donn\u00e9es pirat\u00e9e n\u2019\u00e9tait pas la base de donn\u00e9es principale, mais une qui \u00e9tait temporaire et utilis\u00e9e par les d\u00e9veloppeurs.<\/p>\n<p>Spiral Toys a \u00e9galement publi\u00e9 une <a href=\"https:\/\/cloudpets.zendesk.com\/hc\/en-us\/articles\/115003696948-CloudPets-Data-Breach-FAQs\" target=\"_blank\" rel=\"noopener nofollow\">FAQ pour les utilisateurs comportant les informations ci-dessus et en mentionnant les nouvelles r\u00e8gles de l\u2019entreprise concernant des mots de passe plus s\u00e9curis\u00e9s<\/a>.<\/p>\n<p><strong>Base de donn\u00e9es ouverte <\/strong><\/p>\n<p>D\u2019autres fuites importantes ont concern\u00e9 <a href=\"https:\/\/www.kaspersky.fr\/blog\/hello-kitty-pirate\/5090\/\" target=\"_blank\" rel=\"noopener\">la base de donn\u00e9es du site web officiel de l\u2019entreprise des jouets Hello Kitty<\/a> (3 300 000 enregistrements d\u2019utilisateurs pirat\u00e9s) et <a href=\"https:\/\/www.kaspersky.fr\/blog\/vtech-toys-hacked\/5072\/\" target=\"_blank\" rel=\"noopener\">la base de donn\u00e9es de la boutique en ligne VTech<\/a> (5 500 000 fichiers de comptes d\u2019utilisateurs et une quantit\u00e9 \u00e9norme de photos pirat\u00e9es). Ces deux incidents se sont produits en 2015.<\/p>\n<p>Le service CloudPets et les d\u00e9veloppeurs du site web Hello Kitty avaient utilis\u00e9 la solution de gestion de base de donn\u00e9es MongoDB, ce qui avait fait la une des m\u00e9dias suite au piratage des hackers (ou, plus pr\u00e9cis\u00e9ment, la prise de contr\u00f4le) de dizaines de milliers de base de donn\u00e9es.<\/p>\n<p>Ceux qui poss\u00e8dent des bases de donn\u00e9es d\u00e9tourn\u00e9es peuvent \u00eatre des victimes, mais ils ne sont pas innocents pour autant. En ne demandant pas d\u2019autorisation, MongoDB a laiss\u00e9 les portes ouvertes de la base de donn\u00e9es, et en utilisant des bases de donn\u00e9es ouvertes, les fabricants ont indiqu\u00e9 que \u00e7a leur \u00e9tait \u00e9gal.<\/p>\n<p>Bien s\u00fbr, MongoDB n\u2019est pas l\u2019unique probl\u00e8me, l\u2019\u00e9tat g\u00e9n\u00e9ral de la s\u00e9curit\u00e9 doit s\u2019am\u00e9liorer. Tous les efforts d\u00e9ploy\u00e9s par les organismes de r\u00e9glementation, les d\u00e9fenseurs de la vie priv\u00e9e et les experts en s\u00e9curit\u00e9 ne peuvent tout simplement pas surmonter la rapidit\u00e9 de l\u2019adoption d\u2019une nouvelle technologie et la tendance g\u00e9n\u00e9rale de la d\u00e9valuation des donn\u00e9es de l\u2019utilisateur.<\/p>\n<p>A propos, apr\u00e8s le piratage de MongoDB, les hackers ont men\u00e9 des attaques massives sur des syst\u00e8mes de gestion de bases de donn\u00e9es distribu\u00e9es. N\u2019importe quelle base de donn\u00e9es non prot\u00e9g\u00e9e finira par \u00eatre divulgu\u00e9e en ligne, et un utilisateur lambda ne sera pas en mesure de faire quoi que ce soit. Il est de pi\u00e8tre consolation que de penser qu\u2019une fuite de base de donn\u00e9es n\u2019est que temporaire et auxiliaire si la base de donn\u00e9es est bien r\u00e9elle. Fermer un syst\u00e8me pirat\u00e9 ne fera pas revenir vos donn\u00e9es comme par magie.<\/p>\n<p><strong>Conseils pour les parents <\/strong><\/p>\n<p>Soyez vigilant lorsque vous offrez \u00e0 votre enfant un jouet \u00e9lectronique intelligent. Notamment, si vous constatez ces faits\u00a0:<\/p>\n<ul>\n<li><strong>Si le jouet envoie des donn\u00e9es \u00e0 Internet<\/strong>. Beaucoup de jouets le font et la tendance s\u2019\u00e9tend m\u00eame \u00e0 des jouets en peluche classiques.<\/li>\n<li><strong>Si vous ne pouvez pas contr\u00f4ler les actions du jouet. <\/strong>Au moins, les poup\u00e9es Cayla ont un indicateur clignotant qui montre que le microphone est activ\u00e9. Avec les apps mobiles, vous ne pouvez m\u00eame pas savoir quand elles se lancent. Kaspersky Lab a d\u00e9couvert que 96% des applications se lancent en mode arri\u00e8re-plan, <a href=\"https:\/\/www.kaspersky.fr\/blog\/secret-life-of-apps\/6824\/\" target=\"_blank\" rel=\"noopener\">m\u00eame si un utilisateur ne les lance pas<\/a>.<\/li>\n<li><strong>Si un jouet est \u00e9quip\u00e9 d\u2019un microphone et d\u2019une cam\u00e9ra. <\/strong>Il ne s\u2019agit pas seulement des ours en peluche et des robots, cette cat\u00e9gorie comprend des applications mobiles dot\u00e9es des <a href=\"https:\/\/www.kaspersky.fr\/blog\/android-permissions-guide\/6702\/\" target=\"_blank\" rel=\"noopener\">autorisations correspondantes<\/a>.<\/li>\n<li><strong>Si un jouet demande des informations personnelles \u00e0 un enfant. <\/strong>Par exemple, une connexion Bluetooth ne requiert pas d\u2019authentification.<\/li>\n<\/ul>\n<p>Un seul de ces points est suffisant pour reconsid\u00e9rer l\u2019\u00e9quilibre entre les jouets connect\u00e9s et la vie priv\u00e9e de vos enfants.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vous pensez que les jouets pour enfants sont plus s\u00e9curis\u00e9s que ceux pour les adultes ? En \u00eates-vous bien s\u00fbr ?<\/p>\n","protected":false},"author":2049,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,9,1868],"tags":[87,2083,334,1639,2084,124,61,1095,227],"class_list":{"0":"post-6948","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-news","7":"category-tips","8":"category-privacy","9":"tag-conseils","10":"tag-education-des-enfants","11":"tag-enfants","12":"tag-fuites","13":"tag-jouets","14":"tag-piratage","15":"tag-securite","16":"tag-services-en-ligne","17":"tag-vie-privee"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kids-devices-vulnerabilities\/6948\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kids-devices-vulnerabilities\/11038\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kids-devices-vulnerabilities\/9092\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kids-devices-vulnerabilities\/10405\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kids-devices-vulnerabilities\/10144\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kids-devices-vulnerabilities\/14574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kids-devices-vulnerabilities\/9100\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kids-devices-vulnerabilities\/6611\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kids-devices-vulnerabilities\/10074\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/kids-devices-vulnerabilities\/15313\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kids-devices-vulnerabilities\/14679\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kids-devices-vulnerabilities\/14679\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/enfants\/","name":"Enfants"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2049"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=6948"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6948\/revisions"}],"predecessor-version":[{"id":6950,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6948\/revisions\/6950"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=6948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=6948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=6948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}