Avec les jouets connectés, les données personnelles des enfants sont exposées…

08-12-2015

Un jouet connecté. Que deviennent les données enregistrées ?

Si les jouets connectés sont bien présents pour Noël, ils pourraient se révéler être des cadeaux empoisonnés. Le fabricant Vtech a reconnu, début décembre 2015, s’être fait piraté une base de données. Les poupées connectées « Barbie » sont elles aussi dans la tourmente. La sécurité n’est pas au rendez-vous. Un bonheur pour les hackers qui monnayent ces informations à prix d’or.

Des millions de données sensibles dans la nature

La firme de HongKong, VTech, spécialiste des jouets High Tech, a annoncé début décembre qu’une de ses bases de données clients avait été piratée. 5 millions de comptes adultes ont été récupérés, ainsi que les informations concernant 6,4 millions d’enfants.

Les informations récupérées concernent aussi bien les photos, identifiants, adresses, dates de naissance, historique de téléchargement que les messages échangés par écrit entre parents et enfants via les tablettes du groupe. Au total ce serait près de 190 Go de données qui auraient été exfiltrés par un ou des cybercriminels…En France, près de 800 000 comptes seraient compromis.onnayent ces informations à prix d’or.

Des jouets connectés non sécurisés

Hello Barbie, la version connectée de la célèbre poupée, a la particularité de disposer d’un micro pour dialoguer avec un enfant. Les informations sont envoyées sur un serveur pour être analysées et que la poupée puisse apporter une réponse.

Tout ce qui est dit par l’enfant est donc transmis et stockés sur les serveurs distants de Toytalk, partenaire de Mattel. Qu’en est-il lorsque l’enfant ne parle pas à la poupée ? Par ailleurs la société de sécurité BlueBox Security et le chercheur indépendant Andrew Hay ont dévoilé plusieurs failles : dans les applications pour smartphones, des mots de passe identiques pour tout le monde, des connections à des réseaux wifi non sécurisés sont automatisés et des serveurs distants mal protégés…

Une partie des babyphones connectés présentent eux aussi des failles de sécurité, n’importe qui pouvant accéder à distance à leurs flux audio et vidéo.

30 à 40 dollars pour un profil enfant.

Si d’un côté, l’industrie des jouets connectés manque de sérieux et d’expérience face à la sécurité informatique, de l’autre les enjeux sont conséquents, attisant les convoitises. Sur le marché noir, un package nom, date de naissance, email et numéro de sécurité sociale s’échange autour de 30 à 40 dollars pour un enfant. Ce montant ne s’élève qu’à 20 dollars pour les adultes. De même les numéros de sécurité sociale sont davantage associés à la fraude pour les profils des enfants que celui des adultes.

Vigilance et pédagogie face aux jouets connectés, la bonne résolution de 2016 ?

Sources :