Jouets connectés, attention danger ?

On a appris un mois tout juste avant Noël qu'un hacker s'était emparé d'informations concernant près de 5 millions de parents et près de 200000 enfants, clients du fabricant de jouets électroniques VTech, basé à Hong Kong.
Entre autres données dérobées, des noms, adresses électroniques et postales, dates d'anniversaire, mots de passe... mais aussi des photos d'enfants et des enregistrements de voix.
Le hacker n'a pas pris le contrôle d'un jouet à distance. Il a attaqué un serveur distant – dans le «Cloud» – où VTech entreposait ses données. Mais tout est bien qui finit bien, ou presque, dans cette affaire, parce qu'il assure avoir agi sans mauvaise
intention.
«Profiter de toutes ces données, ce n'est pas quelque chose que je fais. Surtout si des enfants sont concernés», parce que ce serait «moralement inacceptable», a-t-il déclaré au site spécialisé
Motherboard.
Le hacker resté anonyme dit qu'il a voulu donner une bonne leçon à VTech, après avoir constaté que sa boutique en ligne était étonnamment peu protégée, utilisant une technologie obsolète.
«Je veux simplement que les problèmes soit connus et résolus», a-t-il ajouté, non sans menacer de frapper à nouveau. «Peut-être contre des concurrents de VTech, je ne sais pas...»
«C'est terrible de penser que ces enfants ont eu leurs données exposées avant même de savoir de quoi il s'agit», déplore Gavin Reid, spécialiste des menaces chez Lancope, une société de cybersécurité récemment rachetée par le géant américain des réseaux Cisco.
«C'est le nouvel ordre mondial dans la vie privée : il faut s'attendre à ce que tout ce que vous confiez à des organisations puisse être exposé à un certain point», ajoute-t-il.
D'où une question qui taraude les professionnels de la cybersécurité: faut-il exposer ses enfants?

Bien lire la notice
«Il y a beaucoup de rançonnage», s'inquiète Sean Sullivan, expert de la société finlandaise de sécurité informatique F-Secure. «Quelqu'un qui a accès aux données de vos enfants pourrait vous envoyer des photos et prétendre qu'il les a enlevés. Certaines personnes pourraient paniquer!»
Moins alarmistes, un certain nombre de ses confrères remarquent que les fichiers volés pourraient être revendus pour enrichir les fichiers marketing de sociétés peu
regardantes.
Comme le note Laurent Pellud, le patron de la société de sécurité informatique toulousaine Scassi, «une liste bien ciblée, ça vaut 20000 euros. Est-ce que quelqu'un se préoccupe de l'origine? Absolument pas. Donc il y a du business derrière!».
D'où une supplique, unanime, du Cercle européen de la sécurité et des systèmes d'information, qui fédère les pourfendeurs de la cybercriminalité: «Il faut lire les conditions d'usage.»
«Il est dangereux d'acheter un jouet sans penser aux aspects de sécurité», renchérit David Emm, analyste pour l'éditeur d'antivirus russe Kaspersky Lab. Aux parents de s'inquiéter des aspects connectiques, tout comme ils veillent à ce que leurs enfants ne puissent pas s'étouffer en avalant de trop petites pièces.
«Ça peut être bien d'acheter un jouet avec un micro ou même un appareil photo, mais vous pourriez vous dire: "Je n'aime pas tellement que cette information soit envoyée là-haut dans le Cloud", estime-t-il. Il faut se demander, à propos de nos enfants: quelles informations sont collectées? Comment cette information pourrait-elle être utilisée? Et, si le wi-fi est activé, est-il possible que quelqu'un l'utilise pour attaquer le reste de notre réseau? A-t-on vraiment besoin du wi-fi?»
Parmi les exemples souvent cités de jouet qui ne pourrait pas garder ses secrets, la nouvelle poupée Barbie, connectée avec micro et haut-parleur.
De nombreux spécialistes s'attendent à ce que des jouets soient directement hackés dans les prochains mois. D'autant que la sécurité informatique n'est pas la priorité de la plupart des fabricants, en l'absence de normes précises.

(Source : AFP)