Montres connectées pour enfants : une faille, ça va, plusieurs, bonjour les dégâts

Les smartwatches sont-elles dignes de confiance ? Si vous êtes prêts à mettre la main à la poche pour vous payer la dernière Apple Watch, c’est peut-être le cas. Mais si vous optez pour l’une des versions low cost destinées aux enfants, c’est en revanche bien moins sûr. Le Beuc, organisation qui regroupe les différentes associations de protection des consommateurs en Europe, a envoyé une lettre à la Commission européenne afin de les informer sur les risques auxquels s’exposent les consommateurs qui achèteraient plusieurs modèles de montres connectées pour enfant destinées au marché européen. L’organisation s’appuie sur une étude menée par une association de protection des consommateurs norvégiens, en collaboration avec la société de sécurité Mnemonic.

Crédit photo : forbrukerradet 


Selon l’étude menée par les deux organisations, plusieurs modèles de montres connectées pour enfant présentent d’importantes failles de sécurité qui peuvent permettre à un attaquant d’en prendre le contrôle et d’espionner l’activité de son utilisateur, en l’occurrence un enfant. « L’une des montres étudiées peut fonctionner comme un outil d’enregistrement, ce qui permet aux parents ou à un étranger disposant de connaissances techniques de surveiller les alentours directs d’un enfant sans que la montre ne l’indique clairement » explique ainsi le Beuc dans sa lettre adressée à la Commission. D’autres montres étudiées présentent des défauts de sécurité pouvant permettre à un attaquant de prendre le contrôle des applications installées sur la montre, tandis que d’autres autorisent des attaques de type « location spoofing » qui consistent à fausser les données de géolocalisation afin de faire apparaître la montre dans une position déterminée par l’attaquant.


Plus inquiétant que les failles, le business model

Des failles de sécurité qui s’accompagnent également d’inquiétudes concernant la protection des données personnelles collectées par ces montres. L’analyse des conditions d’utilisation imposées aux utilisateurs par ces modèles de montre révèle ainsi qu’un seul des quatre modèles étudiés demande explicitement l’autorisation de l’utilisateur avant de collecter les données. La plupart des montres n’ont aucun mécanisme permettant à l’utilisateur de supprimer les données personnelles collectées par l’appareil. La plupart des montres envoient les données collectées vers différents serveurs à travers le monde, sans donner plus d’information sur la façon dont celles-ci sont utilisées. Dans un cas de figure, les données sont transmises sans le moindre chiffrement, en clair.

L’étude menée par l’organisation norvégienne a porté sur quatre modèles de montres vendus dans la zone euro : Gator 2, Tinitell, Viksfjord et Xplora. Le Beuc demande donc à la Commission européenne de purement et simplement interdire ces quatre modèles, qui ne respectent pas le cadre légal européen sur la protection des données. L’association demande également à ce que des mesures soient prises afin de s’assurer que le respect de ces différentes régulations soit rendu obligatoire pour les constructeurs.

Cette nouvelle étude n’est évidemment pas sans rappeler les précédents cas de jouets connectés ayant posé des soucis en termes de collecte des données personnelles. La poupée Cayla avait déjà subi les foudres de plusieurs associations de défense des consommateurs pour sa sécurité défaillante et ses fonctionnalités de collecte des données. La question des régulations s’appliquant aux objets connectés est largement débattue au sein des différentes organisations européennes, notamment depuis les cyberattaques menées grâce au botnet Mirai.

Ces attaques ont notamment été rendues possibles grâce aux défauts de sécurité au sein de nombreux modèles de caméras IP connectées. L’Enisa a ainsi tenu une conférence de deux jours portant spécifiquement sur la question des objets connectés et sur la réponse à apporter à cette problématique. Dans les jours à venir, l’Enisa publiera ainsi un guide des bonnes pratiques à suivre à l’intention des constructeurs d’objets connectés. Un document auquel les constructeurs de montres connectées et de jouets pour enfants devraient sûrement jeter un coup d’œil.

ZDNet