En cette période de noël et de crise sanitaire nous contraignant au télétravail, faisons un point sur les jouets connectés, les jouets intelligents, encore nommés les Smart Toys : quels sont les risques et comment se protéger ?

 

De quoi parle-t-on ? qu’est-ce qu’un jouet connecté, un jouet intelligent ?

Un jouet connecté est un jouet qui crée une interaction avec son/ses joueurs grâce à une technologie embarquée et connectée. Le jouet connecté peut également être « intelligent ». Un jouet intelligent est un jouet qui crée une interaction avec son/ses joueurs grâce à sa technologie ; il apprend ou se comporte selon les stimulis de son environnement, par exemple les interaction vocales ou comportementales, et s’adaptent ainsi à la personnalité de son joueur. Les jouets intelligents sont parfois connectés, mais pas nécessairement.

La particularité de ces jouets réside dans leurs capacités technologiques : ils sont tous conçus avec une technologie embarquée. Lorsqu’ils sont connectés, ils disposent, en plus, de technologies permettant une connexion à internet, qu’elle soit directe ou indirecte, ainsi que d’un accès à une plateforme ou application, elle-même accessible en ligne, via un ordinateur, une tablette ou une smart phone.

L’enjeux de ces jouets connectés réside dans leur capacité à stocker, traiter, utiliser et diffuser des informations sur les utilisateurs et leur environnement , ce qui pose évidement en premier lieu des questions relatives à la protection des données personnelles et l’application du RGPD.

Les données recueillies par les jouets connectés peuvent être stocké localement dans le jouet, ou, plus généralement à distance dans une base de données, qui devient accessibles par des tiers, par exemple les producteurs des jouets connectés qui peuvent les utiliser pour leurs propres usages, par exemple les analyser pour améliorer les prochaines générations de jouets.

Les grandes typologies de jouets connectés et parfois intelligents :

  1. Les jouets qui permettent aux parents de surveiller et/ou de localiser leurs enfants
  2. Les compagnons virtuels « intelligents » (poupées, peluches) et robots
  3. Les tablettes communicantes pour enfant
  4. Les jeux en ligne qui permettent de jouer avec d’autres utilisateurs, à distance

Qui dit technologie et connexion, dit données !

Qui dit jouet, dit enfant, mineur et risques accrus !

Quelles sont les données le plus souvent recueillies ?

Selon la fonctionnalité du jouet connecté, les données souvent recueillies sont à la fois celles de l’enfant et celles d’un ou des parents :

  • date de naissance, nom, sexe
  • adresse email et postale
  • emplacement
  • échanges de messages
  • échange de photos des enfants
  • historique de navigation, de comportement
  • mot de passe
  • parfois données bancaires
  • mots de passe d’accès au Wi Fi
  • ect..

Quels sont les risques ?

  • les jeux qui ont des fonctions d’écoute, d’enregistrement vocale ou photo peuvent se transformer en « espion »
  • l’utilisation des données personnelles à des fins malveillantes : escroquerie, usurpation d’identité des parents ou encore harcèlement de l’enfant
  • l’utilisation du jouet connecté à des fins malveillantes : escroquerie, usurpation d’identité ou encore harcèlement de l’enfant

Comment se protéger ?

Voir les recommandations de Cybersécurité Luxembourg :

  • un mot de passe avec un niveau élevé de protection et ne surtout pas resté sur les identifiants et mots de passe initiaux
  • le réseau : s’assurer que le jouet ne puisse pas se connecté seul et automatiquement au réseau, et veiller à
    • Changer le paramétrage par défaut du jouet (code pin, mot de passe…),
    • Sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort
    • Vérifier que l’objet dispose d’un voyant lumineux lorsqu’il est en mode « écoute » ou transmission d’informations sur Internet,
    • Vérifier qu’il ne présente pas de vulnérabilités déjà connues et facilement exploitables,
  • Fabricant reconnu : vérifier le sérieux du fabricant
  • Mise à jour :  problèmes majeurs habituel de la cybersécurité : la mise à jour logicielle (« patch »). Lorsque des mises à jour sont disponibles pour le jouet connecté, elles doivent être installées immédiatement.
  • Désactiver le jouet lorsqu’il n’est pas utilisé
  • Mise au rebut : Souvent les dispositifs IoT ont une mémoire qui stocke des informations ou bien des configurations qui révèlent des aspects liés à la sécurité de votre réseau. Il ne faut pas oublier de supprimer ces données des appareils.
  • Contrat : lire et vérifier le contrat

 

N’oubliez pas que si un jouet a un accès vers un autre appareil, ou au Wi FI qui lui donne accès à d’autres appareil, l’attaquant du jouet pourra également entrer dans cet autre appareil.

En cette période de télétravail intense, n’oubliez pas de sécuriser tous vos objets connectés, ceux de vos enfants mais aussi ceux de vos proches qui évoluent dans votre environnement en ce moment partagé avec celui de votre activité professionnelle.

 

Claudia Weber, avocat fondation du Cabinet ITLAW Avocats

Besoin d’aide ?

Nous accompagnons nos clients dans cette anticipation et aussi dans la défense de leurs intérêts en cas d’attaque sur leur système d’information.

En cas de problème et quelle que soit la nature de l’attaque contre votre SI, nous sommes à vos côtés pour protéger vos intérêts et gérer au mieux la sortie de crise.

ITLAW Avocat mobilise ses talents et son expertise en matière de sécurité, de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT pour vous accompagner dans l’anticipation des failles de sécurité et dans la gestion de crise.

Découvrez nos offres innovantes en matière de sécurité ainsi que nos formations spécifiques en sécurité.

Pour découvrir nos packages “Sécurité” composé de nombreux modèles de document, notamment plaine pénale, ect… contactez-nous.

 

Pour aller plus loin :

Nous contacter