Alors qu'Amazon lance un appareil domestique intelligent Echo Dot destiné aux enfants, il entre dans un marché occupé et en croissance. Plus d'un tiers des foyers américains avec enfants disposent d'au moins un jouet connecté « Internet des objets », comme une créature câline qui peut écouter et répondre aux demandes d'un enfant. Beaucoup d'autres de ces appareils sont en route, partout dans le monde et en Amérique du Nord en particulier.

Ces jouets se connectent sans fil à des bases de données en ligne pour reconnaître les voix et les images, identifier les requêtes des enfants, commandes et demandes et y répondre. Ils sont souvent présentés comme améliorant la qualité de jeu des enfants, offrir aux enfants de nouvelles expériences de jeu collaboratif, et développer l'alphabétisation des enfants, compétences numériques et sociales.

Les appareils en ligne soulèvent des problèmes de confidentialité pour tous leurs utilisateurs, mais les enfants sont particulièrement vulnérables et bénéficient de protections juridiques spéciales. Les défenseurs des consommateurs ont alerté sur les connexions Internet sans fil non sécurisées des jouets - soit directement via Wi-Fi, soit via Bluetooth vers un smartphone ou une tablette avec accès Internet.

En tant que personne possédant à la fois une expérience académique et pratique dans le domaine de la sécurité, application de la loi et technologie appliquée, Je sais que ces craintes ne sont pas hypothétiques. Voici quatre exemples de situations où les jouets de l'Internet des objets mettent en danger la sécurité et la confidentialité des enfants.

1. Connexions sans fil non sécurisées

Certains jouets de l'« Internet des objets » peuvent se connecter aux applications pour smartphone sans aucune forme d'authentification. Ainsi, un utilisateur peut télécharger une application gratuite, trouver un jouet associé à proximité, puis communiquer directement avec l'enfant qui joue avec ce jouet. En 2015, les chercheurs en sécurité ont découvert que Hello Barbie, une poupée Barbie connectée à Internet, automatiquement connecté à des réseaux Wi-Fi non sécurisés qui diffusent le nom de réseau « Barbie ». Il serait très simple pour un attaquant de mettre en place un réseau Wi-Fi avec ce nom et de communiquer directement avec un enfant sans méfiance.

La même chose pourrait arriver avec des connexions Bluetooth non sécurisées au Toy-Fi Teddy, Robot intelligent I-Que et jouets Furby Connect, un groupe britannique de surveillance des consommateurs a révélé en 2017.

La capacité des jouets à surveiller les enfants - même lorsqu'ils sont utilisés comme prévu et connectés à des réseaux officiels appartenant à un fabricant de jouets - viole les lois allemandes anti-surveillance. En 2017, Les autorités allemandes ont déclaré que la poupée My Friend Cayla était un « appareil d'espionnage illégal, " ordonnant aux magasins de le retirer des étagères et obligeant les parents à détruire ou à désactiver les jouets.

Les appareils non sécurisés permettent aux attaquants de faire plus que simplement parler aux enfants :un jouet peut parler à un autre appareil connecté à Internet, trop. En 2017, des chercheurs en sécurité ont détourné un animal en peluche connecté à CloudPets et l'ont utilisé pour passer une commande via un Amazon Echo dans la même pièce.

2. Suivi des mouvements des enfants

Certains jouets connectés à Internet ont un GPS comme ceux des trackers de fitness et des smartphones, qui peut également révéler les emplacements des utilisateurs, même si ces utilisateurs sont des enfants. En outre, les communications Bluetooth utilisées par certains jouets peuvent être détectées jusqu'à 30 pieds. Si quelqu'un dans cette plage recherche un appareil Bluetooth - même s'il ne cherche qu'à coupler ses propres écouteurs avec un smartphone - il verra le nom du jouet, et savoir qu'un enfant est à proximité.

Par exemple, le Conseil norvégien des consommateurs a constaté que les montres connectées commercialisées auprès des enfants stockaient et transmettaient des emplacements sans cryptage, permettant à des étrangers de suivre les mouvements des enfants. Ce groupe a émis une alerte dans son pays, mais la découverte a conduit les autorités allemandes à interdire la vente de montres connectées pour enfants.

3. Mauvaise protection des données

Les jouets connectés à Internet ont des caméras qui surveillent les enfants et des microphones qui les écoutent, enregistrer ce qu'ils voient et entendent. Parfois, ils envoient ces informations aux serveurs de l'entreprise qui analysent les entrées et renvoient des instructions sur la façon dont le jouet doit réagir. Mais ces fonctions peuvent également être détournées pour écouter des conversations familiales ou prendre des photos ou des vidéos d'enfants sans que les enfants ou les parents ne s'en rendent compte.

Les fabricants de jouets ne s'assurent pas toujours que les données sont stockées et transmises en toute sécurité, même lorsque les lois l'exigent :En 2018, le fabricant de jouets VTech a été condamné à une amende de 650 $ US, 000 pour ne pas avoir tenu ses promesses de chiffrer les données privées et pour avoir enfreint les lois américaines protégeant la vie privée des enfants.

4. Travailler avec des tiers

Les entreprises de jouets ont également partagé les informations qu'elles collectent sur les enfants avec d'autres entreprises, tout comme Facebook a partagé les données de ses utilisateurs avec Cambridge Analytica et d'autres entreprises.

Et ils peuvent également partager subrepticement des informations de tiers avec des enfants. Une entreprise de jouets a essuyé des tirs, par exemple, en Norvège et aux États-Unis pour une relation commerciale avec Disney dans laquelle la poupée My Friend Cayla a été programmée pour discuter de ce qui était décrit comme les films Disney préférés de la poupée avec les enfants. Les parents n'ont pas été informés de cet arrangement, ce qui, selon les critiques, équivalait à une publicité de style « placement de produit » dans un jouet.

Que peuvent faire les parents ?

À mon avis, et selon les conseils aux consommateurs du FBI, les parents doivent rechercher attentivement les jouets connectés à Internet avant de les acheter, et évaluer leurs capacités, fonctionnement, et les paramètres de sécurité et de confidentialité avant d'apporter ces appareils dans leurs maisons. Sans garanties appropriées – par les parents, sinon les entreprises de jouets - les enfants sont en danger, à la fois individuellement et par la collecte de données agrégées sur les activités des enfants.

Cet article a été initialement publié sur The Conversation. Lire l'article original.