Un célèbre fabricant de jouets électroniques éducatifs vient d’être la cible d’une attaque informatique ayant permis de voler un nombre considérable de données, concernant des enfants, dont des photos et historiques de conversations. A la veille de Noël, certains de ces  joujoux technologiques inquiètent par leur caractère intrusif, tel est le cas par exemple de la nouvelle poupée Barbie « Hello Barbie ». Le succès fulgurant des  jouets connectés de plus en plus présents sur le marché pose la question de la conservation des données personnelles, de la finalité de ces dernières et du risque élevé de violation de la vie privée.  Inoffensifs d’apparence, ces gadgets s’adressant à un public très jeune  n’en restent pas moins des émetteurs et récepteurs de données via le web,  la vulnérabilité des réseaux et leur sécurisation constituent donc une problématique centrale notamment au vu d’incidents survenus suite à des  piratages d’objets connectés.

Le piratage de VTech : une illustration de la menace des objets connectés sur la vie privée

Le fabricant de jouets Hongkongais VTech vient de connaître un piratage informatique d’une très grande ampleur. La détection de cet accès illicite remonte au 14 novembre 2015 mais l’entreprise n’a commencé à communiquer sur ce sujet qu’à partir du 27 novembre. Ce temps de réaction est dû au fait que VTech ignorait tout de cette intrusion.
Le piratage leur a été signalé par le site internet Motherboard déclarant avoir été contacté par le hacker. Ce sont les systèmes « Learning  Lodge » et «  Explora Park » pour la version française qui ont été les cibles de l’attaque. Il s’agit selon le fabricant d’une plateforme qui permet aux consommateurs de télécharger des contenus pour certains jouets VTech.  Dans un communiqué de presse du 27 novembre 2015, VTech déclare que le 14 novembre, « une personne non autorisée à eu accès à la base de données liée à la plate-forme de téléchargement Learning Lodge-Explora Park ». Puis dans un second communiqué, il est confirmé par l’entreprise que près de 5 millions de comptes de parents et 6,3 millions de comptes d’enfants ont été exposés à l’attaque.

Le hacker affirmé ne pas avoir rendues publiques ces informations, il explique avoir récupéré des données personnelles concernant 4,8 millions de parents et de plus de 200 000 enfants uniquement dans le but d’alerter sur les dangers existants. Les Etats-Unis sont les plus touchés mais la France arrive en seconde position avec 868 650 comptes clients obtenus et 1,17 million de profils d’enfants. Parmi les données subtilisées, on retrouve les noms, adresse électroniques, mots de passe et adresses postales des parents ainsi que les prénoms, date de naissance et sexe des enfants concernés. D’après Troy Hunt expert en sécurité informatique chez Microsoft, les mots de passe étaient protégés par un chiffrement mais de faible sécurité, de plus les questions secrètes et leur réponses permettant de se connecter facilement à un compte étaient non chiffrées. Le site Motherboard révèle également que le pirate se serait emparé de données du service de discussion instantanée «  Kid Connect » utilisé par l’enfant sur une tablette de VTech pour communiquer avec ses parents tout en ayant la possibilité de prendre des photographies. Ainsi, 190 giga-octets de photos auraient été pillées aussi bien d’enfants que d’adultes, des historiques de conversations remontant sur un an et quelques enregistrements sonores. Cette fuite a été techniquement possible car la technologie Flash employée par le constructeur était vétuste et vulnérable aux attaques par injection SQL, le pirate a pu obtenir par ce biais des droits administrateurs et récupérer les données des utilisateurs.

L’ampleur de l’exfiltration est très importante et d’autres personnes ont peut être sévi avant que cette faille ne soit signalée. Une telle base de données possède une valeur économique non négligeable pour les entreprises puisque chaque compte peut valoir jusqu’à 2 euros voire plus selon la complétude des informations recueillies permettant par la suite d’analyser les goûts et le mode de vie des clients. On peut donc imaginer la réutilisation de cette base de données dans une optique mercantile et dans le pire des cas à des fins d’usurpation d’identité pour obtenir des numéros de carte bancaire par exemple ou encore des menaces directes sur la vie des enfants pouvant être pris pour cible. On constate ici les importantes dérives et les graves abus que peuvent causer ces objets à priori anodins et divertissants.

En France, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés institue la CNIL et tente de poser un cadre législatif protecteur des données personnelles. Ce texte est modifié par la loi du 6 août 2004 qui transpose la directive 95/46/CE relative à la protection des personnes à l’égard des données personnelles. Une obligation légale est mentionnée à l’article 7, il s’agit du recueil préalable du consentement des personnes concernées par le traitement des données personnelles. Mais ces objets fournissent t’ils une information suffisante quant à la finalité d’utilisation de la collecte de ces données et de ce fait permettent t’ils un consentement éclairé et explicite ? Par ailleurs, la réunion des CNIL européennes au sein du groupe de travail de l’article 29 (G29) sur la protection des données fait part dans un avis de la faible qualité du consentement du consommateur. D’autre part l’article 34 de la loi de 1978 prévoit une obligation de sécurité à la charge du responsable de traitement de données personnelles ainsi qu’une obligation d’information. Le problème étant que la protection des flux de données à l’étranger n’est pas du même niveau qu’à l’échelle européenne ou nationale. En effet, même si la loi de 1978 pose le principe de l’interdiction du transfert de données personnelles dans des pays extra-européens, l’article 69 de la loi précitée prévoit des exceptions à cette règle. En effet, cette disposition prévoit que le transfert des données hors UE est possible dans certains cas et notamment de manière contractuelle par la signature de clauses adoptée par la Commission européenne entre le pays importateur et le pays exportateur de données à caractère personnel ou encore par l’adoption de règles internes d’entreprises. Cependant, conformément à ses missions, la CNIL a invité les internautes français qui auraient un compte chez VTech à changer de mot de passe afin de prévenir tout incident. Elle a évoqué également le blocage pur et simple du compte. L’autorité administrative française rappelle à cette occasion que l’article 34 de la loi informatique et libertés cité précédemment impose à tout responsable de fichier l’obligation de « prendre toutes précautions utiles, au regard de la nature des données des risques présentés par le traitement, pour préserver la sécurité des données ».

Aux Etats-Unis, le Connecticut et l’Illinois ont diligenté des enquêtes sur ce vol massif de données et le Congrès américain a demandé à VTech holdings des précisions, les élus veulent savoir quelles sont les informations collectées par le constructeur mais aussi et surtout la politique de sécurité mise en place pour protéger des données. Le sénateur démocrate du Massachusetts Edward Markey et le représentant républicain du Texas Joe Barton membres d’un groupe de travail sur la protection de la vie privée demandent dans un courrier adressé à VTech, quelles sont les données qu’ils collectent sur les enfants âgés de 12 ans au plus, comment ils les utilisent et s’ils partagent ou vendent ces informations. Dans ce courrier, les deux parlementaires font également référence à un texte de loi fédérale américaine, le Children’s Online Privacy Act (COPPA) adopté en 1998 et dont le paragraphe 312.5 pose l’exigence d’un accord parental préalable avant la collecte de données d’enfants sur internet.

La tendance des objets connectés pousse les constructeurs désireux de dépoussiérer le secteur du jouet à développer ces appareils toujours plus connectés. Mais cette stratégie est à double tranchant puisque la réputation et l’image de l’entreprise peuvent sérieusement être entachées par ce type de scandale.
Après ce premier incident du genre lié à des jouets à l’usage d’enfants, la méfiance vis-à-vis de ces espions déguisés est de plus en plus grande.

La poupée « Hello Barbie » : des inquiétudes légitimes sur la collecte des données personnelles des enfants

Début décembre, le célèbre fabricant américain Mattel commercialisera aux Etats-Unis sa nouvelle poupée Barbie « Hello Barbie » afin de relancer ses ventes en baisse. Côté esthétique, pas de changement pour la poupée blonde californienne, en revanche, elle est désormais dotée d’un micro, d’un haut-parleur et connectée en wifi. La simple Barbie en plastique se transforme dès lors en collecteur de conversations avec des enfants susceptibles de se confier sur l’intimité de leurs vies. Les propos sont recueillis par la poupée dans le cloud puis transmis à des serveurs distants et analysée par ToyTalk partenaire technologique de Mattel mais aussi par d’autres sociétés. Des associations dénoncent les risques en matière de protection et d’utilisation des données personnelles. D’autres craignent les piratages, elle pourrait en effet même servir de cheval de Troie pour pénétrer le réseau wifi du foyer et ainsi accéder aux autres appareils raccordés au réseau domestique. Les inquiétudes se manifestent également en Europe puisque la poupée est déjà surnommée «  Barbie Stasi ».

Sécurité des données personnelles : nécessité d’un renforcement de la réglementation

Au risque de voir les consommateurs et en particulier les parents se détourner des jouets connectés en appliquant un principe de précaution, les fabricants doivent au maximum mettre en œuvre des procédés efficaces de protection des données qui leur sont confiées avec notamment le chiffrement ou d’autres outils de sécurité permettant d’identifier une activité inhabituelle sur un serveur. On peut envisager une législation plus exigeante sur ce point à l’instar des normes européennes de conformité des jouets par rapport  aux risques de toxicité, mécaniques, électriques, d’inflammabilité, d’hygiène… Il ne serait pas insensé d’étendre la liste des critères de qualité que doivent présenter les jouets avant d’être mis sur le marché en ajoutant les risques liés à la connectivité de certains jouets par l’instauration d’ une sorte de « crash test » dont le but serait de tester le degré de la menace d’intrusion.

Le projet de règlement de la Commission européenne du 25 janvier 2012 « La protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » visant à réformer la directive n° 95/46/CE propose d’instaurer une obligation d’Accountability ou de responsabilisation (articles 22 et 28) qui consiste pour le responsable du traitement des données, de devoir rendre compte et d’expliquer, avec une idée de transparence et de traçabilité permettant d’identifier et de documenter les mesures de mises en oeuvre pour se conformer aux exigences issues de la réglementation Informatique et libertés. Il devra donc démontrer qu’il a rempli ses engagements en matière de protection des données en documentant l’ensemble de sa politique de protection des données de manière à prouver aux autorités de contrôle ou aux personnes concernées comment il s’y tient. La réforme prévoit également la mise en place du Privacy by Design (articles 23, 30, 32a, 33a et 33), les entreprises devront définir et mettre en oeuvre des procédures permettant d’intégrer les problématiques liées à la manipulation des données personnelles dès la conception de nouveaux services. Cette démarche s’accompagne de l’obligation de réaliser des analyses de risques relatives à la vie privée des personnes préalablement à la mise en place des traitements les plus sensibles et à chaque modification de traitement.

Pour en savoir plus sur l’internet des objets, vous pouvez consulter les actes de la table ronde 2015 de l’IREDIC sur «Le droit et l’internet des objets ».

SOURCES :

MATTATIA F., Traitement des données personnelles, Paris, 2013, Eyrolles, 188 p.

BENSOUSSAN A., « Accountability et réforme des données personnelles », alain-bensoussan.com, mis en ligne le 15 janvier 2014, consulté le 2 décembre 2015, <http://www.alain-bensoussan.com/reforme-donnees-personnelles-accountability/2014/01/15/>

REYNAUD F., « Les fabricants de jouets connectés doivent-ils conserver les données ? », lemonde.fr, mis en ligne le 2 décembre 2015, consulté le 3 décembre 2015, <http://www.lemonde.fr/pixels/article/2015/12/01/les-fabricants-de-jouets-connectes-doivent-ils-vraiment-conserver-les-donnees-collectees_4821802_4408996.html>

ANONYME, « Objets connectés et sécurité », franceinter.fr, mis en ligne le 14 août 2015, consulté le 3 décembre 2015, <http://www.franceinter.fr/emission-ledito-eco-objets-connectes-et-securite>
CASSINI S., «  Les jouets VTech victimes d’un piratage », lemonde.fr, mis en ligne le 1er décembre 2015, consulté le 3 décembre 2015, <http://www.lemonde.fr/economie/article/2015/12/01/les-jouets-vtech-victimes-d-un-cybercriminel_4821275_3234.html>
REYNAUD F., «  Ce que l’on sait sur le piratage de données des clients du fabricant de jouets VTech », lemonde.fr, mis en ligne le 1er décembre 2015, consulté le 3 décembre 2015, <http://www.lemonde.fr/pixels/article/2015/12/01/ce-que-l-on-sait-sur-le-piratage-du-fabricant-de-jouets-vtech_4821714_4408996.html>
LAUSSON J., « Le piratage de VTech met la vie privée d’enfants en danger », numerama.com, mis en ligne le 1 décembre 2015, consulté le 3 décembre, <http://www.numerama.com/politique/133229-le-piratage-de-vtech-met-la-vie-privee-denfants-en-danger.html>
BERGOUNHOUX J., « Les données de 6,4 millions d’enfants piratées à cause d’une technologie Flash vétuste », usine-digitale.fr, mis en ligne le 4 décembre 2015, consulté le 3 décembre 2015, < http://www.usine-digitale.fr/article/les-donnees-de-6-4-millions-d-enfants-piratees-a-cause-d-une-technologie-flash-vetuste.N367457>

ANONYME, « Le Congrès demande des explications à VTech sur son piratage », reuters.com, mis en ligne le 2 décembre 2015, consulté le 3 décembre 2015, <http://fr.reuters.com/article/frEuroRpt/idFRL8N13R46Z20151202>
ANONYME, « Connectée en wifi, Barbie se prend pour Mata Hari », lexpansion.lexpress.fr, mis en ligne le 30 novembre 2015, consulté le 3 décembre 2015, <http://lexpansion.lexpress.fr/high-tech/connectee-en-wi-fi-barbie-se-prend-pour-mata-hari_1740886.html