Jouets connectés : comment protéger vos données ?

Jouets connectés : comment protéger vos données ?
Les adresses e-mail et mots de passe de 821 000 détenteurs de ces peluches connectées se sont retrouvés accessibles sur Internet. - © Goldfaery

Après la poupée Cayla, c’est au tour de peluches connectées de présenter des failles dans la sécurisation des données personnelles. La Cnil recommande d’être particulièrement vigilant.

Les pirates informatiques s’attaquent aux jouets connectés. Lancés il y a quelques mois par l’entreprise américaine Spiral Toys, des ours, lapins, chats ou licornes en peluche ont la capacité de restituer des phrases dictées par les parents. Comment ? Grâce à une application mobile. Les parents l’installent sur leur téléphone portable et la connectent à la peluche. Les phrases sont ensuite stockées sur une base de données. L’enfant, lui, n’a plus qu’à appuyer sur un bouton pour pouvoir s’enregistrer.

Seulement, la base de données hébergée sur la plateforme en ligne MongoDB n’était nullement protégée. Ni par un mot de passe, ni par un pare-feu. Résultat, entre le jour de Noël et début janvier, les adresses e-mail et les mots de passe de 821 000 détenteurs de ces peluches connectées se sont retrouvés accessibles sur Internet, ainsi que plus de 2 millions de messages vocaux échangés entre les parents et les enfants. Spiral Toys aurait même reçu des demandes de rançons, en monnaie virtuelle Bitcoin, pour récupérer les données.

Cayla, la poupée espionne

Autre négligence relevée, l’entreprise ne vérifiait pas le niveau de sécurité des mots de passe. Troy Hunt, un développeur spécialisé dans le domaine de la sécurité informatique, raconte sur son blog qu’il a réussi à entrer dans plusieurs comptes en tapant comme mot de passe « 123456 » ou encore « qwerty ».

Malheureusement, ces peluches connectées ne sont pas les seules à avoir présenté des failles. La semaine dernière, l’Allemagne a interdit la commercialisation de la poupée Mon amie Cayla. En cause ? Sa capacité à se connecter à une tablette ou un smartphone via une application. Des pirates mal intentionnés pourraient en profiter pour espionner l’enfant, voire lui parler.

Donner le minimum d’informations

Ainsi, si vous achetez un jouet connecté, la Cnil (Commission nationale de l’informatique et des libertés) vous conseille de :

  • verrouiller la plateforme, le smartphone et votre box Internet par un mot de passe solide et différent ;
  • ne pas utiliser une adresse qui serait partagée par les personnes de votre foyer ;
  • effectuer régulièrement les mises à jour de sécurité ;
  • de ne communiquer, dès l’inscription, que le minimum d’informations nécessaires au service (par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge) ;
  • éviter de capter ou de stocker des données sensibles ;
  • utiliser au maximum des pseudonymes au lieu du nom/prénom.

Effacer les données si le jouet ne sert plus

Si vous comptez déconnecter le jouet ou ne plus l’utiliser, il est préférable :

  • de supprimer les données ;
  • de désactiver le partage automatique sur les réseaux sociaux ;
  • d’éteindre le jouet.

Par ailleurs, la Cnil rappelle que les « fabricants ont une obligation de sécuriser les informations collectées ». L’article 34 de la loi informatique et libertés prévoit que « le fabricant est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».