Quelle est la responsabilité des fournisseurs ? Quel est aussi leur niveau d’engagement ? L’IoT nous entraîne à nous poser de nouvelles questions.
Fin novembre 2015, il a été reconnu qu’un pirate avait réussi à avoir accès aux comptes des clients du fabricant de jouets VTech -des jouets électroniques, «intelligents», rien à voir avec de simples blocs à empiler ou des poupées; des jouets dont les éléments sont capables de se connecter à Internet pour différents usages. DigiGo, un de ces jouets aux allures de smartphone, permet de partager des messages vocaux ou textes, des photos et des dessins avec les membres de la famille. Autre exemple, Kidisecret Foto, journal digital et appareil photo combinés; le jouet peut être connecté à un PC via un câble pour les mises à jour et les sauvegardes. Tous ces «jouets connectés» fonctionnent avec un compte créé par VTech; les enfants et les adultes peuvent créer un tel compte.
Le pirate a récolté un butin composé de noms, d’adresses mails, de mots de passe chiffrés, questions secrètes et réponses associées, adresses IP et postales de plus de 5 millions de personnes, dont 200 000 enfants. Rapidement, analyse G-Data, il a été découvert qu’il n’y avait pas que les données administratives des comptes : il y avait aussi des photos, des messages instantanés et des enregistrements volés…
Comment le hacker a t-il pu commettre un tel vol de données ? La réponse tient en un mot : injection SQL. Soit une méthode d’attaque très connue, explique G-Data, spécialiste de la sécurité internet. Concrètement, il s’agit d’un vecteur d’attaque extrêmement puissant quand il est bien exploité, qui consiste à modifier une requête SQL en injectant des morceaux de code non filtrés, généralement par le biais d’un formulaire. En fait, rien de neuf. En 1998, déjà, les problèmes de sécurité avec SQL ont été rendus publics.
VTech n’est pas le seul fabricant de jouets concerné. Début février 2016, rappelle G-Data, il est devenu clair que l’ours intelligent de Fischer Price l’était bien moins que ce que le fabricant voulait nous faire croire. L’ours peut communiquer avec l’enfant. Grâce à une connexion Wi-Fi et une application spéciale, les parents peuvent donner des informations à l’ours afin qu’il apprenne le nom de l’enfant, qu’il puisse par exemple lui indiquer l’heure de se coucher. Des chercheurs en sécurité de l’entreprise Rapid7 ont trouvé plusieurs bugs stupides dans l’application, ce qui a permis aux pirates de trouver des noms et dates de naissance des enfants.
La différence entre le cas VTech et celui de Fischer Price est que le dernier n’est qu’un danger potentiel. Les chercheurs ont mis en garde Fischer Price et le problème de sécurité a été résolu. Il n’y a donc pas eu de dégâts. Cela ne vaut pas pour VTech où un pirate a obtenu les données. Heureusement, le hacker semble être assez raisonnable moralement, on ne lui connait pas de plan pour ces données. Mais, pour illustrer son histoire, il a publié plusieurs milliers de données.
Une fuite de données se produit à cause d’erreurs de négligence, évidemment très graves, surtout en ce qui concerne des victimes sans défense, tels que des enfants. Mais, peut-être, est-ce pardonnable. Les fabricants de jouets ne travaillent tout simplement pas dans la sécurité informatique; ils n’ont vu que le potentiel de l’Internet des objets, ignorant les risques. Oui. Sauf que VTech a mis à jour ses conditions d’utilisation, valables depuis le 24 décembre 2015. «Vous reconnaissez et acceptez que vous assumez l’entière responsabilité de votre utilisation du site et de tout logiciel ou firmware téléchargé à partir de là. […] Vous reconnaissez et acceptez que toute information que vous envoyez ou recevez lors de l’utilisation du site peut ne pas être sécurisée et risque d’être interceptée ou plus tard acquise par des parties non autorisées.»
Un fabricant peut-il légalement esquiver ses responsabilités et les rejeter de cette manière sur le consommateur ? Poser la question c’est déjà y répondre. Les jouets, mais aussi à peu près tous les produits de consommation, auront une variante «intelligente» d’ici à peu, insiste G-Data. une méthode d’attaque très connue. C’est un vecteur d’attaque extrêmement puissant quand il est bien exploité. Il consiste à modifier une requête SQL en injectant des morceaux de code non filtrés, généralement par le biais d’un formulaire. une méthode d’attaque très connue. C’est un vecteur d’attaque extrêmement puissant quand il est bien exploité. Il consiste à modifier une requête SQL en injectant des morceaux de code non filtrés, généralement par le biais d’un formulaire. Tous ces dispositifs seront en mesure de mesurer, enregistrer et traiter les données sur l’utilisateur. Il est maintenant clair que pour la plupart des fabricants d’appareils intelligents et des développeurs, les applications de sécurité associées ne sont pas une priorité. Peut-on espérer que le consommateur ait l’entière connaissance de ce qui est techniquement possible et, ainsi, puisse poser la question du risque et la traiter en fonction de la responsabilité pour tout produit à puce qu’il a l’intention d’acheter ? A ce niveau, la question relève de la Commission de la vie privée et donc des instances gouvernementales.