Comment faire que les objets connectés reçus à Noël ne deviennent pas des aspirateurs à données personnelles | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Un jouet connecté, la poupée "Mon amie Cayla", dans un rayon d'un magasin de Londres.
Un jouet connecté, la poupée "Mon amie Cayla", dans un rayon d'un magasin de Londres.
©LEON NEAL / AFP

La minute tech

Comment faire que les objets connectés reçus à Noël ne deviennent pas des aspirateurs à données personnelles

La connectivité des jouets, des gadgets électroniques ou des appareils high-tech expose de plus en plus les données personnelles des utilisateurs face aux risques de cyberattaques ou de piratages.

Loïc Guezo

Loïc Guezo

Loïc Guezo est expert en stratégie cybersécurité. Loïc Guézo est Secrétaire Général du CLUSIF (www.clusif.fr). Il est par ailleurs membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) et réserviste Police Nationale, RCM (Référent Cyber Menaces). Twitter: @lguezo Linkedin : https://www.linkedin.com/in/lguezo/ 

Voir la bio »

Atlantico : Connexions Bluetooth, réalité augmentée, applications compagnons… Il n’y a plus un jouet ou un gadget sans connectivité. Quels sont vos conseils pour éviter qu’ils ne deviennent un aspirateur à données personnelles ? 

Loïc Guézo : Le premier conseil, c'est d'identifier dans ces objets les fonctions connectées. A partir de là, il est possible de procéder, selon les objets, à différents réglages qui vont permettre de minimiser la surface d'aspiration potentielle des données. Le deuxième conseil est se renseigner sur le produit éventuellement éviter de donner ses données à des fabricants qui ne seraient pas respectueux des différentes règles de protection de données. J'avais traité en 2015 un premier cas de piratage d'un fabricant de jouets connectés qui n'avait pas pu intégrer dans ses produits les contrôles de sécurité nécessaires à la bonne gestion des données collectées. Les données personnelles des enfants utilisateurs des jouets avaient fuité et pouvaient être utilisées contre eux. 

Un autre cas remonte à 2017, quand une poupée "conversationnelle" a été interdite en Allemagne après que des chercheurs ont découvert que sa connexion Bluetooth pouvait être piratée pour permettre à des inconnus d'écouter les enfants. Depuis, les entreprises ont-elles fourni des efforts sur la sécurité ? Comment s’en assurer ?

C'est difficile à dire parce qu'il y a un pic de jouets connectés chaque année au moment des fêtes, et ils sont différents d'une année sur l'autre. Mais globalement, les fournisseurs de ces jouets, comme tout fournisseur d'objets connectés, sont de plus en plus sous la pression des régulateurs des pays dans lesquels ces jouets sont vendus. En France, des réglementations européennes commencent à se mettre en place, notamment sur la protection des données collectées, mais aussi et surtout sur la sécurité by design de ces objets connectés. Nous sommes, en 2023, dans une phase de transition où désormais, en tout cas en Europe, tous les objets connectés doivent répondre à des impératifs de sécurité au moment de leur commercialisation mais aussi sur l’ensemble de leur durée de vie. C'est un bon point. 

À Lire Aussi

Chantage au smartphone : quand les données d’application mobiles sont vendues pour être exploitées publiquement

Mais il restera toujours cette problématique de détournement des fonctions de l'objet ; comme le cas de la poupée que vous avez cité, qui se transformait en micro espion. Dans ce cas-là, on n'est pas dans un usage normal de l'objet mais dans un détournement de ses fonctions. Ces usages non conventionnels des objets sont toujours à envisager avec un œil un petit peu parano que doivent prendre les parents lorsque leurs enfants se voient offrir ce type d'objet ou qu'eux-mêmes réfléchissent à les offrir. Il faut devenir un peu technicien, un peu scénariste et imaginer ce que pourrait être un détournement des fonctions : caméras, micros, géolocalisation... Ces scénarios ne sont vraiment pas de la science-fiction. Par exemple, si vous avez un objet qui a des caméras et une fonction de géolocalisation, quelqu'un qui accéderait à ces données pourrait reconstituer vos environnements de vie. On peut imaginer des scénarios où un potentiel cambrioleur ferait parler la poupée de l'enfant pour voir s'il y aura une réponse ou pas et en déduire s'il y a une occupation du logement, par exemple. 

Vous avez mentionné la sécurité by design. Prend-elle par exemple la forme d'obturateurs de caméras, ou de boutons on/off sur un micro ? Faut-il vérifier ce genre de choses au moment de l’achat ?  

Ça, c'est plutôt de la privacy by design, c'est-à-dire que l'objet doit permettre de déconnecter des fonctions collectant des données sensibles. C'est classiquement un obturateur pour une caméra, mais ça peut aussi prendre la forme d'un tableau de commandes des différentes fonctions de l'objet ou de l'application numérique, dans lequel on va pouvoir éteindre toutes les fonctions sensibles. Il doit aussi être possible de pouvoir déterminer quelles données sont collectées et où et comment ces données sont envoyées, stockées, sécurisées, détruites au bout d'un certain temps. Cela permet d’avoir un vrai panorama du risque lié à cet objet. 

C’est donc un sujet qui va au-delà des objets connectés. Sur les applications aussi, il faudrait vérifier cela, non ?

Cela devrait effectivement être le b-a-ba de tout usager de toute application, qu'elle soit classique comme un réseau social, ou qu'elle soit un objet connecté qui n'est finalement qu'une application avec des capteurs particuliers et une restitution spécifique prenant par exemple la forme d'une poupée.

À Lire Aussi

Le piratage qui fait douter de la sécurité des gestionnaires de mots de passe

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !