Rapport spécial : Piratage de 10 jouets populaires en vue d’évaluer leur sécurité et confidentialité

Si un jouet est connecté à Internet, il peut envoyer des informations sur vous et vos enfants aux serveurs du fournisseur, ainsi qu’à des sociétés tierces avec lesquelles le fournisseur a conclu des accords de partage de données.

Nous avons commandé une étude à 7ASecurity, un cabinet de conseil en cybersécurité de confiance, pour pirater dix des jouets Internet les plus populaires afin d’évaluer leur niveau de confidentialité et de sécurité.

« Sur les dix jouets intelligents audités pour ce rapport, 7ASecurity a constaté des faiblesses généralisées en matière de sécurité et de confidentialité. Concrètement, cela signifie que de nombreux jouets commercialisés pour les enfants pourraient être utilisés à mauvais escient pour espionner des familles, manipuler ce que les enfants entendent ou voient, ou exposer des données sensibles. »

Nous avons choisi ces jouets en fonction de leur popularité auprès des acheteurs du monde entier. Ces dix jouets sont également largement représentatifs des autres jouets connectés du marché en termes de caractéristiques. Nos résultats montrent qu’il y a de graves failles de sécurité qui se cachent dans ces produits. 7ASecurity a testé les jouets suivants :

• Amazon Fire Kids Tablet, une tablette Amazon conçue pour les enfants de 3 à 7 ans avec contrôle parental ;
• Emo Robot, un mini robot compagnon qui joue avec vous à votre bureau ;
• GoCube Edge, un puzzle Rubik’s Cube connecté par Bluetooth ;
• Huawei Watch Kids 4, une montre intelligente conçue pour les enfants ;
• Miko Mini, un robot compagnon conversationnel pour les enfants ;
• PlayShifu Plugo Count, un jeu d’apprentissage STEM qui se connecte à une tablette ou un téléphone ;
• Powerup 4.0 Airplane, un avion en papier connecté à un smartphone ;
• Kit d’activité Sphero Mini, une boule robotique connectée à un smartphone et un ensemble de jouets ;
• TickTalk 5, une montre intelligente conçue pour les enfants ;
• Toniebox 1, un lecteur audio avec de la musique, des histoires et des jeux.

Voici les problèmes les plus courants que nous avons identifiés lors de notre audit de sécurité avec 7ASecurity.

Une voix inconnue dans votre jouet

Les jouets pour enfants dotés de fonctions vocales ont beaucoup évolué depuis l’époque où une cordelette de serrage était attachée à une enceinte de haut-parleur. Les jouets connectés à Internet avec reconnaissance vocale peuvent écouter votre enfant et lui répondre en faisant une demande à un service en ligne, qui est généralement alimenté par l’IA.

Le service Internet génère ensuite une réponse à l’aide d’un logiciel de synthèse vocale de texte, qui est ensuite renvoyé d’Internet vers le haut-parleur du jouet pour être lu.

L’ audit de 7ASecurity a révélé que certains des jouets que nous avons répertoriés présentent des vulnérabilités de sécurité. Cela signifie qu’un hacker pourrait détourner le haut-parleur en interceptant et en modifiant les réponses envoyées à votre enfant.

Quel est le risque : bien que la sécurité de ces jouets puisse certainement être améliorée, 7ASecurity n’a trouvé aucune preuve que les attaques par injection vocale découvertes parmi les 10 jouets audités puissent être effectuées complètement à distance. Un attaquant devrait être en mesure d’intercepter votre trafic en utilisant une technique de type « Man in the Middle » (Homme du milieu), de sorte que les seuls coupables plausibles seraient un employé malveillant de votre FAI, un pirate informatique utilisant le même réseau Wi-Fi que votre jouet ou un attaquant se trouvant à portée de votre Bluetooth.

Concrètement, si votre Wi-Fi domestique utilise des contrôles de sécurité appropriés comme le protocole WPA3 et que vous faites confiance aux autres appareils de votre réseau, vous n’aurez pas à vous en soucier. Cependant, vous devez vous inquiéter si vous utilisez un point d’accès Wi-Fi public non sécurisé où un pirate pourrait potentiellement surveiller votre trafic Internet.

Implications concrètes :

7ASecurity a constaté que les jouets suivants sont affectés par ce problème :

• Emo Robot, un mini robot compagnon qui joue avec vous à votre bureau.

En contrôlant le haut-parleur, un attaquant pourrait envoyer des messages vocaux inappropriés à votre enfant sans surveillance adéquate. Imaginez dépenser des centaines de dollars pour un ours en peluche connecté à la voix, qui se mettrait à proférer des grossièretés au hasard. Cela va au-delà d’une simple farce. Dans le pire des cas, un prédateur pourrait utiliser la confiance implicite que les enfants placent dans leurs jouets pour les attirer dans un endroit dangereux.

Localisation, localisation, localisation

La plupart des jouets de cette liste sont dotés d’une mémoire interne qui leur permet d’enregistrer des médias tels que des clips vocaux, des images et des vidéos capturés par des microphones et des caméras. Même si les moments préférés de vos proches ne sont pas envoyés dans le cloud pour alimenter les modèles d’IA, le problème ne s’arrête pas là.

7ASecurity a constaté que ces fichiers sont parfois mal sécurisés sur les jouets de notre liste et sur les applications qui les accompagnent. Nos recherches suggèrent que le stockage local des données personnelles pose plusieurs problèmes, allant des fabricants qui choisissent de ne pas utiliser les solutions de stockage de données les plus sécurisées disponibles lors de l’enregistrement de données dans des applications mobiles à l’absence de cryptage pour les fichiers enregistrés sur des supports de stockage internes et externes.

Cependant, il semble que la mauvaise sécurité physique soit le principal coupable. Selon 7ASecurity, « 4 [jouets] sur 10 ont exposé des données sensibles via un stockage physique non sécurisé ».

Quel est le risque : si le jouet de votre enfant est volé ou perdu, vos informations privées pourraient être consultées. Cela vaut également pour les jouets que vous avez donnés, vendus ou jetés. Sans un cryptage approprié en place, un attaquant serait en mesure de retirer la carte SD du jouet et d’accéder à toutes les images et vidéos stockées sur l’appareil.

Assurez-vous de choisir une option cryptée si vous êtes invité à choisir la manière dont vos données sont stockées. Si vous n’effacez pas correctement toutes les données stockées du jouet avant de vous en séparer, cela peut constituer une menace à votre vie privée.

Implications concrètes :

7ASecurity a constaté que les jouets suivants sont affectés par ce problème :

• Amazon Fire Kids Tablet, une tablette Amazon conçue pour les enfants de 3 à 7 ans avec contrôle parental ;
• Emo Robot, un mini robot compagnon qui joue avec vous à votre bureau ;
• Huawei Watch Kids 4, une montre intelligente conçue pour les enfants ;
• PlayShifu Plugo Count, un jeu d’apprentissage STEM qui se connecte à une tablette ou un téléphone ;
• TickTalk 5, une montre intelligente conçue pour les enfants ;
• Toniebox 1, un lecteur audio avec de la musique, des histoires et des jeux.

Selon ce que le jouet a enregistré, un attaquant pourrait avoir accès à tout, des discussions familiales intimes aux indices sur l’agencement de votre maison. Voici quelques informations qu’un attaquant pourrait obtenir à partir de vos données supprimées :

• Adresses, numéros de téléphone ou routines quotidiennes par le biais d’enregistrements vocaux ;
• Données de localisation intégrées dans les photos et les enregistrements ;
• Noms des membres de la famille et relations à partir des données de contact ;
• Horodatages révélant quand la maison est occupée ou vide.

Ces jouets enregistrent une mine d’informations, il est donc indispensable de prendre les bonnes précautions.

Les données que vous fournissez

Vous avez probablement déjà vécu cette situation : tout le monde a déballé ses cadeaux, a commencé à jouer avec ses nouveaux jouets flambant neufs, et avant que vous ne vous en rendiez compte, vous téléchargez des applications et remplissez des formulaires d’inscription à des comptes juste pour que la figurine de dinosaure connectée à Internet de votre enfant rugisse quand il passera devant elle.

Si vous vous demandez si les données personnelles de votre enfant sont correctement protégées lorsque vous vous inscrivez à ces services, vous avez raison de vous inquiéter. Les audits de 7ASecurity ont révélé que « 6 sur 10 présentaient des vulnérabilités côté serveur ou des contrôles d’authentification manquants ».

Les vulnérabilités côté serveur peuvent varier considérablement, mais d’après ce que 7ASecurity nous a montré, certaines d’entre elles pourraient être utilisées de manière abusive pour récupérer les données personnelles que vous avez fournies à un fournisseur. Les données personnelles que vous avez été obligé de transmettre pour utiliser pleinement les fonctionnalités de ces jouets.

Nous avons constaté que certaines de ces mauvaises configurations pourraient être utilisées à mauvais escient pour exécuter à distance du code sur un jouet, ce qui donnerait à un attaquant le contrôle total des fonctions du jouet.

Quel est le risque : cela dépend vraiment du service que vous utilisez, mais nous avons constaté que certains de ces services accessibles sur l’Internet présentent des failles de sécurité importantes qui permettraient à un attaquant d’infiltrer des bases de données entières et de collecter des informations personnelles en gros.

Les données que vous pourriez perdre comprennent :

• noms complets, dates de naissance et âges des enfants ;
• vos adresses e-mail et numéros de téléphone ;
• adresses du domicile pour les expéditions de produits ;
• enregistrements vocaux et chats vidéo ;
• habitudes d’utilisation révélant quand les enfants sont à la maison et éveillés ;
• coordonnées GPS des jouets géolocalisés.

En ce qui concerne l’exécution de code à distance, un attaquant qui prend le contrôle d’un jouet connecté pourrait activer des caméras et des microphones à votre insu, transformant votre jouet en un dispositif de surveillance dans la chambre de votre enfant. Toutes les données qui transitent par le jouet seraient à la disposition de l’attaquant.

Conséquences concrètes :

7ASecurity a constaté que les jouets suivants sont affectés par ce problème :

• PlayShifu Plugo Count, un jeu d’apprentissage STEM qui se connecte à une tablette ou un téléphone ;
• Powerup 4.0 Airplane, un avion en papier connecté à un smartphone ;
• Kit d’activité Sphero Mini, une boule robotique connectée à un smartphone et un ensemble de jouets ;
• TickTalk 5, une montre intelligente conçue pour les enfants ;
• Toniebox 1, un lecteur audio avec de la musique, des histoires et des jeux.

Aucune violation de données n’a la même portée ou le même impact. Cependant, 7ASecurity a noté que :

« Chaque jouet de l’étude traitait une certaine forme de données personnelles sur les enfants ou les parents, et la moitié d’entre eux collectaient également des données de localisation. Lorsque ce niveau de collecte de données est combiné à des protections faibles, les attaquants ou les initiés abusifs pourraient reconstruire l’identité d’un enfant, sa routine quotidienne ou sa localisation avec une précision inquiétante. »

Quelle est la politique, en fait ?

Lire la documentation relative à la politique de confidentialité pour un jouet connecté à Internet est bien la dernière chose que vous voulez faire pendant les fêtes, mais il est important de faire preuve de diligence raisonnable compte tenu des capacités dont certains de ces jouets disposent. Si un jouet peut enregistrer le son, la vidéo et les coordonnées GPS, vous devez vous assurer que les données sont traitées correctement.

Certains des jouets que nous avons examinés ne disposent pas d’informations suffisantes propres à déterminer quelles informations personnelles sont collectées, en particulier en ce qui concerne la manière dont les tiers traitent vos données. Dans d’autres cas, les informations pertinentes sont noyées dans des pages et des pages de jargon juridique, ce qui rend extrêmement difficile de comprendre exactement comment et où les données de votre enfant sont utilisées.

Où est le risque : vous ne pouvez pas prendre de décision éclairée sur les données collectées par le jouet de votre enfant et sur la manière dont elles sont partagées avec des tiers.

Non seulement ce manque de transparence viole le principe fondamental du consentement éclairé, mais il peut également amener les vendeurs de jouets à entrer en conflit avec les lois sur la protection de la vie privée des enfants telles que la COPPA aux États-Unis ou le RGPD en Europe.

Conséquences concrètes :

7ASecurity a constaté que les jouets suivants sont affectés par ce problème :

• Emo Robot, un mini robot compagnon qui joue avec vous à votre bureau ;
• Toniebox 1, un lecteur audio avec de la musique, des histoires et des jeux.

Sans documentation appropriée, il est impossible de savoir comment un fabricant utilise vos données. Si un fabricant ne prend pas la peine de documenter correctement ses pratiques en matière de données, on peut se demander quelles autres tâches il néglige également.

Il est également nécessaire de savoir quelles données sont collectées vous concernant, afin que vous puissiez exercer efficacement vos droits. Vous devriez également être en mesure de comprendre quelles mesures de sécurité protègent les données, quels sont vos droits d’accès, de correction ou de suppression des données de vos enfants.

Vous devez vous attendre à voir, au minimum, des informations claires sur chaque type de données collectées (audio, vidéo, localisation, habitudes d’utilisation), sur la manière dont ces données sont utilisées par le fabricant et par des tiers, sur la durée de conservation des données et le processus de suppression, ainsi que sur les personnes qui y ont accès.

Vulnérabilités de Bluetooth

Nous avons gardé pour la fin le problème le plus inquiétant découvert par 7ASecurity. Certains des appareils que nous avons demandé à 7ASecurity d’examiner disposent d’une authentification Bluetooth très limitée ou inexistante, ce qui signifie qu’un attaquant peut contrôler à distance le jouet s’il est à portée de l’appareil.

À première vue, cela peut sembler être un vecteur d’attaque relativement peu risqué, mais la réalité est plus préoccupante. Alors que les attaques Bluetooth nécessitent qu’un attaquant soit à proximité, elles sont simples à réaliser. Pire encore, les signaux Bluetooth se transportent facilement entre les murs dans des endroits comme les immeubles d’appartements et peuvent atteindre les jouets dans les écoles, les garderies ou même dans votre voiture lorsque vous êtes à l’arrêt dans des lieux publics.

Une fois qu’ils sont connectés, beaucoup de ces jouets n’ont aucun mécanisme pour vous avertir qu’un appareil non autorisé s’est connecté à eux. Le jouet accepte simplement la connexion et répond aux commandes.

Dans au moins un cas, nous avons vu qu’un code exploitant une faille de Bluetooth pourrait conduire à une prise de contrôle totale et permanente de l’appareil. Le jouet de votre enfant pourrait être compromis pendant des jours ou des semaines sans que vous n’ayez aucun moyen de le savoir.

Quel est le risque : cela dépend vraiment des capacités du jouet et de l’accès dont dispose un attaquant. Au minimum, ils pourraient faire clignoter des lumières ou émettre des sons pour perturber le sommeil des enfants ou les effrayer, vider la batterie du jouet pour le rendre inutilisable ou faire bouger le jouet de manière erratique.

Cependant, nous avons également constaté que des violations plus graves de la vie privée sont également possibles. Si un appareil avec une sécurité Bluetooth médiocre a également accès à un microphone ou à une caméra, un attaquant pourrait l’activer pour écouter des conversations ou suivre la localisation du jouet s’il est compatible GPS. En fait, des recherches antérieures de 7ASecurity ont démontré qu’une telle attaque était possible sur la série de jouets CloudPets, ce qui a conduit à leur retrait du marché.

Implications concrètes :

7ASecurity a constaté que les jouets suivants sont affectés par ce problème :

• GoCube Edge, un puzzle Rubik’s Cube connecté par Bluetooth ;
• Powerup 4.0 Airplane, un avion en papier connecté à un smartphone ;
• Kit d’activité Sphero Mini, une boule robotique connectée à un smartphone et un ensemble de jouets.

C’est peu probable, mais un pirate particulièrement motivé pourrait utiliser un jouet connecté via Bluetooth comme point d’ancrage pour infiltrer l’ensemble de votre réseau domestique.

Bien que cela nécessite des capacités importantes, nous avons confirmé avec 7ASecurity que les coded exploitant une faille de Bluetooth ne se limitent pas à la prise de contrôle des fonctions d’un jouet. Dans certains cas, un attaquant pourrait exploiter l’absence d’authentification Bluetooth sur un jouet pour s’implanter sur votre réseau, puis utiliser cet accès pour attaquer d’autres appareils tels que des ordinateurs, des smartphones, des systèmes domestiques intelligents et des caméras de sécurité.

Il s’agit d’un scénario d’attaque avancé, très peu probable, mais c’est une véritable menace pour les familles dont les parents sont connus.

Mais il y a de bonnes nouvelles

Sur les dix jouets que nous avons testés, deux des fabricants de jouets nous ont dit, en réponse à nos questions, qu’ils avaient déjà traité les problèmes de sécurité que nous avions identifiés, que ce soit dans les mises à jour ou dans leurs derniers produits.

La Toniebox 1, le modèle que nous avons testé, n’est plus en production mais vous pouvez toujours l’acheter en ligne. Un porte-parole a déclaré que des changements ont été apportés à la Toniebox 2 ainsi que des mises à niveau qui empêchent l’accès aux données. « Entre autres avancées, nous avons également traité les deux conclusions que vous mentionnez. »

Le Miko Mini a connu plusieurs mises à jour au cours de l’année dernière pour renforcer la sécurité, afin d’empêcher l’appareil de se connecter à des réseaux Wi-Fi ouverts ou non sécurisés.

« L’application parentale Miko applique strictement le Wi-Fi sécurisé WPA 2.0 pour la configuration et le fonctionnement. Les réseaux ouverts, les portails captifs et les environnements Wi-Fi publics (tels que les cafés, les aéroports ou les hôtels) sont explicitement bloqués au niveau de la couche de configuration et ne peuvent pas être contournés par les utilisateurs », a déclaré Ritvik Sharma, directeur de la croissance de Miko.

L’entreprise a également mis en place un programme de signalement des vulnérabilités permettant de signaler les problèmes de sécurité, et accepte même les suggestions de correctifs ou d’atténuation de sa communauté.

J’ai déjà un de ces jouets, et maintenant ?

Ne jetez pas encore l’éponge. Vous pourriez être tentés, après avoir lu notre rapport, de jeter l’éponge et d’espérer que vos enfants se contenteront d’un bâton et d’un cerceau, mais il existe encore quelques mesures que vous pouvez prendre pour atténuer les risques liés aux jouets connectés à Internet.

1. Faites des recherches :

Lorsque vous achetez un jouet, vérifiez s’il dispose d’un mode hors ligne ou s’il existe des fonctionnalités qui nécessitent strictement un compte en ligne ou une application mobile. Il est également utile d’effectuer quelques recherches en ligne pour voir si des problèmes ont déjà été signalés concernant le jouet que vous avez.

2. Après votre achat :

S’il y a un mot de passe par défaut, changez-le ! Si vous le pouvez, désactivez également certaines fonctionnalités, comme la caméra et le microphone d’un jouet lorsqu’il n’est pas utilisé. C’est également une bonne chose de garder tous les jouets que vous avez achetés sur un réseau Wi-Fi séparé ou d’éteindre le Wi-Fi, au cas où.

3. Lorsque vous vous débarrassez d’un jouet :

Réinitialisez l’appareil aux paramètres d’usine, retirez la carte SD ainsi que la mémoire interne et éliminez-les séparément, puis supprimez tous les comptes que vous avez auprès du fabricant.

L’essentiel :

Le confort d’une connexion Internet ne doit jamais se faire au détriment de la sécurité et de la vie privée de votre enfant.

Si les problèmes que nous avons mis en évidence vous semblent assez effrayants pour vous faire réfléchir à deux fois avant d’acheter des cadeaux pour Noël, il existe un moyen infaillible de vous protéger contre ces attaques : achetez des cadeaux low-tech jusqu’à ce que l’industrie du jouet dans son ensemble fasse effectuer régulièrement des audits tiers pour les jouets connectés à Internet.

Illustration par Nancy Tran. Photo : Adobe Stock