Les applications de garderie sont conçues pour faciliter la vie quotidienne dans les crèches. Les parents peuvent les utiliser, par exemple, pour accéder à des rapports sur le développement de leurs enfants et pour communiquer avec les enseignants. Cependant, certaines de ces applications présentent de graves failles de sécurité. C'est la conclusion à laquelle sont parvenus des chercheurs de la Ruhr-Universität Bochum (RUB), de la Westfälische Hochschule et de l'Institut Max Planck pour la sécurité et la confidentialité de Bochum, en collaboration avec un partenaire industriel. Ils ont analysé 42 applications de garderie d'Europe et des États-Unis en ce qui concerne la sécurité et la confidentialité. Dans certaines applications, ils ont pu accéder à des photos privées des enfants ; plusieurs applications ont accédé aux données personnelles des utilisateurs sans leur consentement et les ont partagées avec des tiers.

L'équipe dirigée par le Dr Matteo Große-Kampmann, qui a obtenu son doctorat. à l'Institut Horst Görtz pour la sécurité informatique de la RUB, et le Dr Maximilian Golla de l'Institut Max Planck pour la sécurité et la confidentialité présenteront leurs conclusions en juillet 2022 à Sydney lors du "22nd Privacy Enhancing Technologies Symposium". Auparavant, les résultats étaient publiés en ligne.

"Conformément au Règlement général européen sur la protection des données et à la loi américaine sur la protection de la vie privée en ligne des enfants, les données des enfants font l'objet d'une protection particulière", déclare Maximilian Golla. "Malheureusement, nous avons constaté que de nombreuses applications ne garantissent pas cette protection."

Les analyses ont été réalisées en collaboration avec AWARE7 GmbH. L'équipe a contacté tous les fabricants d'applications avant la publication et les a informés des vulnérabilités.

Utilisé par des millions

Pour l'étude, les chercheurs ont analysé les applications de garderie Android qu'ils ont trouvées dans le Google Play Store et qui offrent au moins les fonctionnalités suivantes :le développement des enfants et toute activité spéciale peuvent être enregistrés dans l'application sous forme de notes, de photos et vidéos ; l'application dispose d'une fonction de messagerie grâce à laquelle le personnel de la garderie peut communiquer avec les parents ; l'application prend en charge la gestion de la garderie dans les processus administratifs tels que la facturation, la création d'horaires et l'organisation de groupes. Les applications les plus utilisées "Bloomz" et "brightwheel" ont été téléchargées plus d'un million de fois depuis le Google Play Store. Ensemble, toutes les applications ont atteint environ trois millions de téléchargements.

Dans certains cas, les données personnelles sont vendues

Parmi les applications analysées, huit présentaient de graves problèmes de sécurité qui permettraient, par exemple, aux attaquants de voir les photos privées des enfants. Dans 40 applications, les chercheurs ont découvert qu'ils surveillaient les parents et les éducateurs :ils collectaient le numéro de téléphone et l'adresse e-mail de l'utilisateur ainsi que des informations concernant l'appareil et l'utilisation de l'application, telles que l'heure à laquelle un bouton a été cliqué. Les fabricants partagent et vendent ces informations et d'autres à des fournisseurs tiers. Un développeur d'applications écrit :"... partager des données avec des partenaires à des fins commerciales, telles que le nombre moyen de changements de couches par jour...". Souvent, les données sont partagées avec Amazon, Facebook, Google ou Microsoft pour des campagnes publicitaires ciblées.

Politiques de confidentialité inadéquates

"Nous avons également regardé les politiques de confidentialité des fournisseurs", précise Maximilian Golla. "Et une image terrifiante a émergé. De nombreuses politiques n'ont même pas mentionné qu'elles traitent les données des enfants, et encore moins qu'elles collectent et vendent des données, même si elles sont tenues de le faire par la législation européenne et américaine."

Mais cela ne signifie pas nécessairement que les fournisseurs agissent de mauvaise foi. "Nous soupçonnons plutôt qu'il s'agit de problèmes techniques et organisationnels", déclare Matteo Große-Kampmann. Selon les chercheurs, certains fournisseurs agissent avec négligence parce que la politique de confidentialité liée n'est pas conforme, en partie parce qu'elle ne contient pas d'informations sur le traitement des données dans l'application ou sur les services proposés et n'a souvent pas été mise à jour depuis de nombreuses années.

Les chercheurs espèrent que leurs découvertes attireront l'attention sur cette question sensible, étant donné que les données des enfants sont en jeu. "Il va sans dire que les responsables de crèches, les éducateurs et les parents ne peuvent pas analyser chaque application eux-mêmes", déclare Matteo Große-Kampmann. "Mais en fin de compte, ils doivent assumer la responsabilité de la décision d'adopter l'application."

Lignes directrices et listes de contrôle

Selon Maximilian Golla, rejeter par principe les applications de garderie n'est pas une solution praticable, notamment parce qu'il existe des fournisseurs sans problèmes de sécurité, qui respectent les règles de protection des données. "S'il n'y a pas d'application officielle, les parents utilisent des services de messagerie comme WhatsApp, qui est la pire des solutions en matière de confidentialité", souligne-t-il.

Selon les experts en informatique, une bonne idée serait que les experts établissent des lignes directrices et des listes de contrôle. Par exemple, les agences gouvernementales pourraient faire des recommandations et les transmettre aux associations qui gèrent les garderies.