La cybercriminalité est une réalité inquiétante alors que de plus en plus d'objets sont pilotables depuis un smartphone. Les jouets connectés, qui ne nécessitent pas toujours de mot de passe, sont particulièrement vulnérables.
Les fabricants responsables
La Cnil (Commission nationale de l'informatique et des libertés) dénonce en février 2017 les manquements des fabricants quant à la sécurité liée aux jouets connectés. Une marque américaine de peluches, Spiral Toys, a en effet récemment fait l'objet d'une cyberattaque. Les jouets mis en cause permettaient aux parents et aux enfants d'enregistrer des messages, qui étaient ensuite stockés et pouvaient être réécoutés plus tard. Plus de deux millions d'enregistrements sont susceptibles d'être concernés par ce piratage.
Un manque de sécurité inquiétant
Quelques mois auparavant, le magazine UFC-Que choisir avait déjà mis en garde les consommateurs contre la poupée connectée "Mon amie Cayla" et le robot "i-Que". En cause, une connexion via Bluetooth qui ne nécessitait aucun mot de passe. N'importe quelle personne à proximité du jouet pouvait ainsi également s'y connecter et en détourner les données.
Mais d'autres problèmes de sécurité se posent. Les mots de passe, adresses e-mails et autres données sont hébergés sur des plate-formes en ligne qui ne sont pas toujours sécurisées correctement, faute de moyen. C'est le cas de MongoDB, qui hébergeait les données de Spiral Toys. Cette plate-forme ne demandait aucun mot de passe pour s'y connecter. Les données de plus de 800.000 utilisateurs se sont ainsi retrouvées accessibles.
Protégez vos données personnelles
Pour plus de prudence, ne choisissez que des objets connectés où un mot de passe est nécessaire. Utilisez des mots de passe différents pour tous vos comptes, et ne lésinez pas sur la sécurité. Exit donc les “123456”, “azerty” et autres dates de naissance ! Créez également plusieurs adresses e-mail et n'utilisez pas votre mail personnel ou professionnel comme identifiant. Plus vous séparerez vos données, plus vous serez protégé.
Renseignez-vous également sur la fiabilité du système de sécurité de vos objets connectés. Vérifiez les conditions de stockage de vos données. Quelle plate-forme sera utilisée ? Quel type de serveur ? Sont-ils accessibles librement ou faut-il un mot de passe ? Même si ça peut paraître fastidieux, n'hésitez pas à aller faire un tour sur des forums spécialisés. Sans tomber dans la paranoïa, le vol de données peut avoir des conséquences sérieuses.
La CNIL recommande aux utilisateurs de faire les mises à jour de sécurité régulièrement, et d'utiliser des pseudonymes plutôt que vos nom et prénom. Enfin, si votre enfant s'est lassé de son jouet connecté, effacez les données et éteignez-le. Et sinon, pourquoi ne pas revenir aux jouets sans connexion ?