Barbie connectée, sécurité ?
Le New York Times la surnomme « La poupée Barbie Wi-Fi avec l’âme de Siri » et pour de nombreux enfants, c’est peut-être un rêve qui se réalise : enfin une poupée qui vous écoute et qui vous répond !
Hello Barbie, la nouvelle poupée de Mattel, est le cadeau qui fait le plus de buzz en cette période de fêtes de fin d’année 2015. Grâce à une application qui la connecte au réseau Wi-Fi, la poupée la plus populaire au monde fait désormais partie de l’Internet des Objets.
Voici une vidéo pour comprendre son fonctionnement :
http://www.youtube.com/watch?v=RJMvmVCwoNM
Si vous n’achetez pas de jouets pour enfants, vous ignoriez certainement tout de cette Barbie intelligente — jusqu’à ce que la nouvelle du piratage de VTech ne soit révélée… Plus de 6 millions de profils d’enfants ont été dévoilés lors du piratage du fabricant de jouets hongkongais. À l’heure des achats de Noël, les parents doivent maintenant tenir compte de la sécurité des jouets connectés qu’ils offrent à leurs enfants, ce qui était impensable il y a quelques années.
Comme nous le répétons souvent : si c’est intelligent, alors c’est vulnérable.
Des chercheurs ont déjà remis en question la sécurité de VTech par le passé. Aujourd’hui, des experts expriment des craintes similaires à propos de la poupée Hello Barbie, car elle envoie toutes les données des conversations qu’elle entend à un Cloud géré par ToyTalk.
Matt Jakubowski, chercheur en sécurité, a réussi à « accéder au système d’information, aux noms des réseaux Wi-Fi, aux adresses MAC internes, aux identifiants de compte et aux fichiers MP3 des utilisateurs ». Il ajoute également qu’il « n’était qu’une question de temps » avant qu’il ne puisse pirater la poupée pour parler directement aux enfants.
Comme beaucoup de menaces ciblant l’IdO, la proximité est un facteur clé.
Sur le Tumblr de ToyTalk, le directeur de la technologie fait observer que la société n’est « au courant » d’aucune attaque réussie ayant pour objectif de dérober « vos mots de passe Wi-Fi ou les données des conversations de vos enfants ».
Comme il s’agit de la première poupée connectée au Wi-Fi, la société se prépare aux éventuelles infractions et a mis en place un programme de prime au rapport de bug.
Matt Jakubowski a déclaré au Global News : « Dans l’ensemble, je pense que ToyTalk a fait un travail remarquable sur les protocoles de sécurité mis en place. Le mode Wi-Fi doit au préalable avoir été autorisé par le client pour que la poupée puisse accéder aux données. La quantité de données enregistrées est également limitée, afin de réduire la surface d’attaque. »
Il ajoute : « Il semble que ToyTalk utilise le protocole HTTPS pour toutes les communications, afin de garantir qu’aucune sorte d’écoute illicite ne puisse se produire. Ce sont de bons niveaux de sécurité que l’on retrouve rarement dans des appareils de l’IdO. ToyTalk a indéniablement pris en compte de nombreuses inquiétudes et y a répondu du mieux possible. »
Ce sont des mesures positives et absolument nécessaires pour un jouet destiné à de jeunes enfants. Mais certains experts de la protection de la vie privée sont encore sceptiques. Dans le sillage de VTech, le site HaveIBeenPwnded.com créé par Troy Hunt met en garde contre tout ce qui peut étendre l’empreinte numérique de votre enfant.
« Compte tenu de la façon dont les enfants interagissent avec leurs poupées, il est alors très probable qu’ils confieront tout à la Hello Barbie », a écrit Mary Emily O’Hara dans The Kernel.
Il y a de fortes chances que la Hello Barbie ne soit pas la dernière poupée de l’IdO, et avec l’avancée de l’intelligence artificielle les jouets seront d’autant plus présents dans la vie des enfants.
Pour les criminels, ces attaques présentent des risques. « Est-il vraiment intéressant d’organiser des attaques individuelles contre ces jouets ? » se demande Richard Chirgwin dans The Register.
Comme cette technologie est récente, personne ne connaît vraiment la réponse. Pour l’heure, les parents devraient commencer à considérer les jouets connectés au Wi-Fi de la même façon que les smartphones ou les tablettes. Ils devraient également s’intéresser à la manière dont les enfants les utilisent, surveiller leurs activités et mettre de côté le jouet lorsqu’il n’est pas utilisé.
Et bien entendu, il faut également s’assurer que le mot de passe de votre enfant et celui de votre Wi-Fi soient uniques, complexes et impossibles à deviner.
Catégories