[Infographie] Il était une fois l'ours connecté mal sécurisé
04 décembre 2017
Il était une fois... L'ours connecté mal sécurisé.
Le pirate se place Ă une certaine distance...
- 9 mètres : distance maximum constatée lors de la 1ère connexion bluetooth avec le jouet
(distance constatée lors des contrôles de la CNIL. Peut évoluer selon les performances du smartphone utilisé). - 20 mètres : distance maximum qui permet au pirate de prendre le contrôle du jouet connecté une fois la première connexion effectuée.
... et peut activer le haut-parleur : "Dis à tes parents que ton jouet est mal sécurisé", dit le pirate à travers l'ours.
... ou recevoir les paroles captées par le jouet : "mes parents me disent que les ours en peluche ne parle pas" dit l'enfant à l'ours, entendu par le pirate.
Le pirate peut aussi passer par le WiFi du foyer pour écouter les discussions / modifier les réponses.
Une personne mal intentionnée trouve le mot de passe d'une borne WiFi mal sécurisée et se connecte à l'ours au chiffrement https absent.
Comment éviter que l'histoire ne se répète ?
Côté constructeur :
- Penser à la protection de la vie privée dès la conception de l'objet connecté : mot de passe, bouton de connexion au bluetooth, réduction des distances d'émission, chiffrement des données...
- Élaborer une analyse d'impact pour anticiper les risques (PIA).
- Privacy by design, respect de la vie privée dès la conception.
Côté utilisateur :
- Sécuriser l'accès selon les conseils cnil.fr
- Eteindre l'objet et effacer régulièrement les données
