Les jouets connectés à Internet (IoToys) offrent aux enfants des possibilités de jeu, d’apprentissage et de soutien éducatif grâce à leurs fonctionnalités interactives et personnalisées. Les IoToys, comme tout autre appareil Internet des objets (IoT), contiennent des éléments électroniques et informatiques intégrés, tels que des microphones, des caméras, des capteurs de différents types, qui leur permettent d’interagir avec les utilisateurs et de s’adapter à leurs actions. De plus, les IoToys peuvent enregistrer, stocker, analyser et partager toutes sortes de données en fonction de leur configuration.
Les IoToys soulèvent toutefois des questions quant à la sécurité, à la confidentialité et aux autres droits fondamentaux des enfants, car ils peuvent collecter des informations personnelles concernant leur vie, puis utiliser et partager ces données. Les IoToys peuvent communiquer avec d’autres appareils et services qui collectent des données pour la gestion ou le partage et l’analyse de données. Ces développements des IoToys augmentent non seulement la quantité de données disponibles pour les entreprises, mais soulèvent également de nouveaux problèmes de sécurité et de confidentialité qui peuvent affecter la vie privée des familles et des enfants lorsqu’ils interagissent avec de tels appareils.
Les auteurs de cet article ont mis en place une architecture de banc d’essai pour effectuer une analyse des menaces de sécurité et de confidentialité des IoToys. Leur recherche vise à identifier les éléments déterminants à prendre en compte pour garantir les droits et la sécurité des données et de la confidentialité des enfants lors de la conception et de l’utilisation de ces jouets.
Le résultat des tests a montré qu’il était possible d’accéder aux données échangées via des connexions non sécurisées et sécurisées. Les auteurs ont également pu identifier les données envoyées aux serveurs IoToys, telles que :
- Les informations personnelles (dates de naissance des enfants, noms);
- Les identifiants uniques (modèle d’appareil mobile, système d’exploitation, fuseau horaire de l’utilisateur);
- Les préférences des utilisateurs (noms donnés aux IoToys par les utilisateurs finaux);
- Les informations relatives au statut d’un IoToy (par exemple, s’il est en ligne ou non).
Ils ont également découvert que les IoToys n’envoient pas seulement des informations à leurs serveurs, mais peuvent également les envoyer à des services tiers. Dans certains cas, le service tiers a pu avoir un accès exclusif au serveur de l’IoToy pour récupérer les données des utilisateurs.
Enfin, leur analyse a démontré que les IoToys échangeaient des données personnelles en texte clair, ce qui signifie qu’elles n’étaient pas cryptées. Cela signifie que tout adversaire peut capturer la communication sous-jacente et accéder aux données personnelles.
Les utilisateurs devraient fournir uniquement les données nécessaires à la mise en œuvre du service aux entreprises IoToy. Les entreprises d’IoToys doivent informer les utilisateurs de manière transparente sur les types de données échangées entre l’IoToy et le serveur, ou avec des services tiers.
Citer l’article: Chaudron S., Geneiatakis D., Kounelis I., Di Gioia R. (2019) Testing Internet of Toys Designs to Improve Privacy and Security. In: Mascheroni G., Holloway D. (eds) The Internet of Toys. Studies in Childhood and Youth. Palgrave Macmillan, Cham