Les jouets ne sont plus ce qu’ils étaient. Devenant des objets connectés, de la Barbie à la tablette éducative, ils posent de nouveaux problèmes de sécurité. Le piratage de VTech confirme les risques.
Le fabricant de jouets VTech vient d’admettre avoir été la victime d’un piratage d’envergure : sa boutique d’applications Learning Lodge, permettant de télécharger des applications éducatives, des e-books, des jeux pour les produits VTech, a subi le 14 novembre une attaque qui aurait exposé quelques 4,8 millions de comptes clients, dont les données de près de 200 000 enfants : noms, mots de passe, emails, adresses IP, réponses aux questions secrètes, mais aucune donnée de cartes bancaires, les paiements s’effectuant sur un système tiers… La base de données inclut les données de clients du monde entier : France (ici, le service s’appelle Explora Park), Etats-Unis, Canada, Royaume-Uni, Ireland, Allemagne, Espagne, Belgique, Pays-Bas, Luxembourg, Danemark, Amérique Latine, Hong Kong, Chine, Australie et Nouvelle Zélande. D’après le site Motherboard, l’attaque serait de type SQL, conçue pour interroger directement des données qui ne sont pas censées être divulguées. Si l’on en croit Imperva, spécialiste de la protection des données des entreprises, ces types d’attaque par injection SQL ont été d’ailleurs en très nette augmentation cette année (3 fois plus d’une année sur l’autre) se réfèrant à la 6e édition de son rapport sur les attaques applicatives web qui vient tout juste d’être publié (www.imperva.com/DefenseCenter/WAAR)
La sécurité des objets connectée : pas une priorité pour les fabricants
Pour Peter Gyöngyösi, responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle, ce piratage « illustre surtout la problématique majeure de la sécurité des objets connectés. Les coûts de fabrication priment toujours sur la sécurité : Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l’innovation et la saisonnalité sont primordiaux », affirme-t-il. « Pour la très grande majorité des objets connectés, la sécurité n’est tout simplement pas une priorité. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possibles, l’expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau. »
Pour lui, il faut en finir avec les comptes utilisateurs pour chaque objet connecté – du grille-pain au jouet, il n’est de toute façon « pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets » – et cela passe en particulier par la mise en place de services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation de mots de passe.
F-Secure, spécialiste en sécurité, s’inquiète tout autant du nombre croissant d’objets connectés, et du manque de sécurité qui va avec. Avec l’arrivée de ces appareils sur les réseaux, conçus par des entreprises non spécialisées dans la fabrication de produits informatiques, les vulnérabilités liées à la sécurité et à la confidentialité des données risquent de croître selon Mika Stahlberg, directeur Strategic Threat Research chez F-Secure : « Les fabricants mettent l’accent sur la facilité d’utilisation et accélèrent la production autant que possible : le consommateur est donc confronté à une large gamme de produits offrant des fonctionnalités limitées… mais présentant un grand nombre de vulnérabilités. Les problèmes de sécurité liés à ces appareils sont relativement similaires à ceux des produits IT traditionnels, mais le développement des réseaux en vue de leur adoption multiplie les risques à grande échelle. », affirme-t-il.