Discussion :

[Victor Vincent]

Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur la toile,
dont des photos, et messages privés d’enfants

Le célèbre fabricant de jouets VTech (basé à Hong-Kong) a subi un piratage d’envergure, exposant ainsi massivement les données personnelles et notamment les mots de passe de parents et enfants à travers le monde. Les premiers chiffres, non officialisés, parlent de près de 4,8 millions de personnes/comptes exposés. Ce piratage est une violation de sécurité massive qui implique des enfants mineurs. Mais il illustre également et surtout la problématique majeure de la sécurité des objets connectés et notamment deux points importants qui pourraient avoir des conséquences importantes dans le futur alors que l’Internet des objets se développe très rapidement.

Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd’hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.

La seconde chose est que les coûts de fabrication priment toujours sur la sécurité. Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l’innovation et la saisonnalité sont primordiales. Un expert Cybersécurité américain a réalisé une excellente analyse de ce piratage de VTech révélant ainsi de nombreux problèmes de sécurité basiques existant sur ce type de terminaux connectés. Le constat est clair, et il est vrai aussi pour la très grande majorité des objets connectés, la sécurité n’est tout simplement pas une priorité. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possible, l’expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, ce type de piratage d’envergure participe à la sensibilisation du public et des fabricants. Les fabricants doivent réaliser que ce qu’ils fabriquent ne sont pas simplement des jouets, ce sont des objets connectés à Internet avec des caméras qui sont mis entre les mains d’enfants. Cela impose de prendre de vraies mesures de sécurité. Les utilisateurs, quant à eux, doivent garder à l’esprit qu’à l’heure actuelle le niveau de sécurité de ces objets connectés est bas et doivent se questionner sur les données qui peuvent les rendre vulnérables et celles qu’ils doivent absolument préserver.

Source : BBC

Et vous ?

Que pensez-vous du piratage de VTech ?

Voir aussi

le forum Sécurité

la rubrique Systèmes (Cours, Tutoriels, FAQ, etc.)

[Gugelhupf]

Il existe bien des normes de "sécurité" (et donc des contraintes) pour les matériaux employés afin de fabriquer ces jouets non ? Donc il existe forcément des commissions pour punir et/ou interdire ces jouets qui provoquent des maladies etc... Et bien il devrait tout simplement y avoir une commission qui vérifie et punie si l'objet connecté est une passoire au niveau de la sécurité, là ça fera changer l'idée des fabricants.

PS: Il n'existe pas un article de loi interdisant à une société de vendre un objet informatique dont le niveau de sécurité est risible ?

[Traroth2]

"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...

[David Evan]

Bonjour,

Je rejoins Gugelhupf sur une réflexion : Comment de si grosses sociétés responsables de nos données peuvent-elles ainsi faire l'objet de tels scandales sans jamais en être inquiété ?

Je m'explique. Soyons d'accord : Les coupables sont avant-tout les pirates et autres voyous cherchant à dérober ces données. Mais cependant, à partir du moment où ses sociétés se permettent de collecter et conserver ses données (sans parfois d'utilité direct dans le service à assurer), ne peuvent-ils pas être aussi responsable de leurs sécurité ?

Les internautes ont accepté des Conditons prévoyant que ces données ne seraient pas divulguées, or, au final, elles sont volées, et tout au plus, seuls des excuses leurs sont présentées. La législation ne pourrait-elle pas prévoir (peut-être est-ce déjà le cas ?) un délit de "négligence" envers ces sociétés ?

Pour faire une analogie, prenons le cas où je décide de confier à ma banque, via l'un de ses coffres, mes bijoux et autres objets de valeur. Si cette banque se fait cambrioler, bien qu'elle ne soit pas la responsable, je serai, en tant que victime associée, automatiquement indemnisé du montant de mon préjudice.

Un autre exemple, si je laisse les clefs sur ma voiture en pleine ville et les portes grandes ouverte. Même si je ne peux pas être tenu responsable de ce vol juridiquement, mon assurance refusera de m'indemniser à cause de ma négligence.

Ce qui me pose problème, c'est que finalement, les internautes sont victimes de vol, sans jamais avoir la possibilité de se défendre. Ne faudrait-il pas imposer de manière systématique, à partir d'un certain quota de données collectées, des audits de sécurité obligatoire ?

Amicalement,

[Invité]

Mais cependant, à partir du moment où ses sociétés se permettent de collecter et conserver ses données (sans parfois d'utilité direct dans le service à assurer), ne peuvent-ils pas être aussi responsable de leurs sécurité ?

Le problème est qu'à partir du moment où on ne peut pas garantir le risque zéro, les données sont potentiellement en péril. La négligence des entreprises est certes inexcusable (quoique trop souvent excusée), la rigueur reste insuffisante. Un jour (espérons lointain), il y aura un scandale à plus grande échelle. Pour prendre un exemple extrême, si un coup d'État se produit au Mexique et si le pushiste est un peu collectionneur, tous les serveurs situés au Mexique pourraient se retrouver entre ses mains. C'est une arme de taille ! Ce serait chouette qu'on puisse réfléchir sur ce genre de problèmes (au lieu de chercher des solutions aux sommes monstrueuses des manques à gagner des annonceurs publiés dans la presse) avant qu'ils ne se produisent.

[NSKis]

Bonjour,

Je rejoins Gugelhupf sur une réflexion : Comment de si grosses sociétés responsables de nos données peuvent-elles ainsi faire l'objet de tels scandales sans jamais en être inquiété ?

...

Ce qui me pose problème, c'est que finalement, les internautes sont victimes de vol, sans jamais avoir la possibilité de se défendre. Ne faudrait-il pas imposer de manière systématique, à partir d'un certain quota de données collectées, des audits de sécurité obligatoire ?

Amicalement,

Il y a apparemment un point qui vous a échappé: Il est impossible à qui que se soit (grande ou petite société!) d'assurer une protection à 100% des données!!! Du moment que vos données sont accessibles par internet, elles seront tôt ou tard à la disposition de hackers...

Renseignez-vous sur le cas de la banque américaine JP Morgan (info qui a fait peu de bruit dans les médias européens), des hackers ont eu accès à plus de 83 millions de comptes bancaires appartenant aux clients de cette banque (76 mio de comptes de ménages américains et 7 mio de comptes d'entreprises)... Est-ce que vous croyez que la 3ème plus grosse banque des USA n'a pas réalisé des "audits de sécurité"???

[air-dex]

Ce qui est le plus gênant sont les conséquences pédopornographiques de cette affaire. Les données ayant été piratées vont plus que probablement aller rejoindre de tels réseaux.

Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd’hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.

N'oublions pas qu'un enfant est avant tout une éponge, un reflet qui stocke et qui reproduit ce que les personnes de son entourage font, en particulier les adultes et surtout leurs propres parents. Il n'y a pas que les enfants à éduquer dans cette affaire. Il y a aussi les parents. Les parents laissent entre les mains de leurs enfants des appareils dont ils ne mesurent pas eux-mêmes l'étendue de leurs pouvoirs. Idem pour l'éducation informatique dont j'ai souvent l'impression qu'elle relève plus du téléphone arabe qu'autre chose. Il faut sensibiliser les parents aux problématiques de l'informatique au lieu de les caresser dans le sens du poil (pour des raisons économiques et politiques). C'est seulement ensuite que, forts de la connaissance de ces problèmes là et des moyens pour les éviter, les parents laisseraient ensuite leurs enfants manipuler des appareils informatiques, sous leur contrôle bien entendu.

"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...

Oui. Ces problématiques là vont par la force des choses devenir une préoccupation. L'IoT marque à mon avis un changement radical dans l'embarqué. Avant les objets embarqués fonctionnaient généralement en vase clos. Je dis volontairement "généralement" pour écarter les cas spécifiques et critiques comme par exemple le militaire, le médical ou bien l'aéronautique. Soit ils ne communiquaient pas du tout avec l'extérieur, soit ils communiquaient entre eux mais pas avec l'extérieur. Les problématiques de sécurité étaient alors forcément très faibles vu les risques encourus. OSEF par exemple de la sécurité dans les ordinateurs pour gosses à l'ancienne (comme ceux de VTech à l'époque), qui ne contenaient aucune donnée sensible et dont la communication avec l'extérieur se limitait à des cartouches d'extension éducatives. Mais la donne a changé. Maintenant ces mêmes objets embarqués sont plutôt des objets connectés, et la problématique de la sécurité vis-à-vis de l'extérieur, en particulier Internet, doit désormais être prise en compte. Ceux qui ne le feront pas en paieront le prix fort. Cet exemple d'enfants dont les photos plus ou moins intimes vont fuiter sur le Net comme pour des stars hollywoodiennes un jour de Fappening Day en est le parfait exemple. Ce genre d'évènement est hélas amené à se reproduire et se reproduira pour ceux qui se ficheront de la sécurité de leurs objets connectés. Ce sera du "sécurise ou crève".

Le problème est qu'à partir du moment où on ne peut pas garantir le risque zéro, les données sont potentiellement en péril. La négligence des entreprises est certes inexcusable (quoique trop souvent excusée), la rigueur reste insuffisante. Un jour (espérons lointain), il y aura un scandale à plus grande échelle. Pour prendre un exemple extrême, si un coup d'État se produit au Mexique et si le pushiste est un peu collectionneur, tous les serveurs situés au Mexique pourraient se retrouver entre ses mains. C'est une arme de taille ! Ce serait chouette qu'on puisse réfléchir sur ce genre de problèmes (au lieu de chercher des solutions aux sommes monstrueuses des manques à gagner des annonceurs publiés dans la presse) avant qu'ils ne se produisent.

Sans aller jusqu'à cet exemple extrême de dictature, on a déjà les USA avec la NSA. Certains clament qu'Internet ne peut pas être contrôlé, mais n'empêche qu'il est entre les mains des USA. Au delà des problèmes de vie privée c'est quand même la leçon n°1 à retenir des scandales de la NSA. Je pense par exemple à toutes ces personnes qui doivent choisir leur TLD au pif, tout en ignorant qu'en fait ils placent leurs sites sous telle ou telle bannière nationale. On se souviendra par exemple de MegaUpload, ce site soi-disant néo-zélandais que les USA ont réussi à faire tomber juste parce qu'ils avaient la main sur le ".com" de "megaupload.com". Ce n'est pas un hasard si son successeur "Mega" a adopté le .co.nz néo-zélandais dans "mega.co.nz", ce qui lui évite des problèmes avec les USA. On peut aussi penser à The Pirate Bay qui, faute d'eaux internationales sur le Web (cela n'existe pas), cherchent désespérément des ports d'attache nationaux peu farouches pour pouvoir continuer de faire ce qu'ils font.

[Invité]

Il n'y a pas que les enfants à éduquer dans cette affaire. Il y a aussi les parents.

Oui, simplement personne n'en ressent le besoin. Le comportement des parents eux-mêmes est le reflet de ce qu'on leur montre. L'éducation ne suffit plus. La télé a encore un gigantesque pouvoir. Dans les séries (surtout américaines, mais toutes les nationalités sont représentées), le geek qui fait attention à ses données est présenté comme une magnifique caricature du complotiste paranoïaque. D'ailleurs, c'est lui le tueur.

Ces problématiques là vont par la force des choses devenir une préoccupation.

Pourtant, depuis le temps, on aurait déjà dû constater un semblant d'inquiétude. Même la CNIL, qui fait un travail efficace (selon les infos dont je dispose) dans son domaine de compétence et d'urgence, reste bien trop en retrait sur la nécessité de réglementer la collecte des données par les sociétés privées. Tout un chacun continue d'utiliser les services connectés par commodité. Et il est tout à fait compréhensible de préférer le GPS à la carte en papier ! Les risques de sécurité, presque tout le monde les connaît. Ceux qui veulent bien en tenir compte sont plus rares.
Voici pourquoi j'ai utilisé l'exemple extrême (et pourtant réaliste) de la dictature : à mon avis, les gens ne se rendent pas compte qu'ils peuvent se faire attaquer de manière individuelle et à grande échelle, qui qu'ils soient. VTech, c'est pas de chance (ça n'enlève rien au caractère malheureux de l'affaire, j'ai des enfants également), mais ça ne touche qu'une toute petite partie de la population et, probablement (et heureusement, me dicte mon bon cœur), les concernés ne sauront jamais avec certitude où leurs données sont parties. Pour la NSA, l'écrasante majorité des européens pense que la NSA œuvre exclusivement pour le bien commun, de même que les gouvernements et la CIA (pour le KGB, on est moins sûr).
L'idée "je n'ai rien à cacher, servez-vous" est répandue depuis l'apparition des caméras de sécurité dans les lieux publics, si ce n'est avant. Or, aujourd'hui, tout le monde a quelque chose à cacher, puisque presque tout est consigné. La légalité des actions n'entre pas plus en ligne de compte que l'absolution à l'église. Personne ne publierait une vidéo de lui-même dans sa vie de tout les jours, sans rien omettre. Le jour du débordement, tout le monde sera éclaboussé.

[bmayesky]

"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...

Le principe de fonctionnement d'une société d'aujourd'hui est de maximiser le profit et de gérer les risques selon leur impact potentiel sur ce même profit.

Donc aucune chance qu'il mettent la clé sous la porte car:
- Aucune loi n'est faite pour protéger, indemniser un client du vol de ses données ni une entreprise de s'être laissé pirater. Risque sur profit = 0 !
- Des affaires de "ce genre" sont comprises et restent dans un cercle fermé de techniciens informatiques peu représentatif des clients. Le risque de perte de client est faible, le risque d'image est faible (un peu de marketing avec de petits mensonges et quelques demi-vérités suffira à noyer le poisson) donc le risque sur les profits est faible et en plus gérable.

Bilan: aucune action ne sera entreprise sinon un peu de communication pour faire diversion afin de ne pas avoir d'impact financier sur la société.

Que faire ?
Moi, je met des informations fausses lorsqu'elles sont demandées à tort: ainsi je suis protégé des vols de données personnelles puisque ce ne sont pas mes données personnelles qui sont alors volées. Après il faudrait sensibiliser le législatif pour avoir des lois protectrices du consommateur: autant rêver par les temps qui courent. Bref, complètement utopique même si j'aurai aimé que ça ne le soit pas.

[Zirak]

Le problème étant surtout qu'il faudrait des lois au niveau "mondial", car actuellement, même si admettons une telle loi passait en France, bah si les données sont stockées à l'étranger ou que la société qui se fait pirater est une société étrangère sans filiale en France, cette loi n'aurait aucun pouvoir.

Et vu que l'on veut un internet libre, contrôler par personne, pourquoi des lois de protections des données seraient mises en place ? On ne veut pas de contrôle, et bien il n'y en a pas, que cela soit en bien ou en mal.

[luckythrice]

Ils peuvent pas les chiffrer leur mots de passe...

[Traroth2]

Le principe de fonctionnement d'une société d'aujourd'hui est de maximiser le profit et de gérer les risques selon leur impact potentiel sur ce même profit.

Donc aucune chance qu'il mettent la clé sous la porte car:
- Aucune loi n'est faite pour protéger, indemniser un client du vol de ses données ni une entreprise de s'être laissé pirater. Risque sur profit = 0 !
- Des affaires de "ce genre" sont comprises et restent dans un cercle fermé de techniciens informatiques peu représentatif des clients. Le risque de perte de client est faible, le risque d'image est faible (un peu de marketing avec de petits mensonges et quelques demi-vérités suffira à noyer le poisson) donc le risque sur les profits est faible et en plus gérable.

Bilan: aucune action ne sera entreprise sinon un peu de communication pour faire diversion afin de ne pas avoir d'impact financier sur la société.

Que faire ?
Moi, je met des informations fausses lorsqu'elles sont demandées à tort: ainsi je suis protégé des vols de données personnelles puisque ce ne sont pas mes données personnelles qui sont alors volées. Après il faudrait sensibiliser le législatif pour avoir des lois protectrices du consommateur: autant rêver par les temps qui courent. Bref, complètement utopique même si j'aurai aimé que ça ne le soit pas.

Et le risque que plus personne n'achète de gadgets qui risquent de publier les photos de l'intérieur de sa maison avec ses gosses aux quatre coins du net, tu l'évalues, ou pas du tout ??? Contrairement à ce que tu dis, j'ai entendu parler de cette affaire VTech sur le site de l'Obs avant de venir sur dvp.

[Stéphane le calme]

VTech souhaite se dédouaner de toute responsabilité
si son portail venait encore à être piraté

Fin novembre, VTech, le fabricant de jouets connectés basé à Hong-Kong, a été victime d'un piratage massif de données personnelles de ses clients ; au total, plus de 6 millions de personnes/comptes se sont ainsi vus exposés. La France était alors le second pays le plus touché en termes de nombre de victimes. Après une fermeture qui aura duré deux mois, le portail web de l'entreprise ainsi que son magasin d'application en ligne ont été réactivés il y a quelques jours. Dans un courriel adressé aux utilisateurs, King Pang, qui est à la tête de l'entreprise, a expliqué que « après avoir renforcé notre protection des données, le service Learning Lodge est de nouveau en ligne », précisant que « nous nous sommes engagés à protéger les informations que vous nous confiez à VTech ».

Et pour ceux qui n'auraient pas reçu de courriel, sur la plateforme il est indiqué aux clients « nous sommes heureux de vous informer que, après avoir renforcé la protection des données, la plateforme Explora Park est de nouveau disponible pour certains de nos jouets connectés, avec la remise en service de leurs fonctions principales », Learning Lodge étant le nom anglais d'Explora Park.

Cependant, ce qui n'est pas précisé, c'est que l'entreprise a mis à jour sa politique d'utilisation en y apportant une clause qui la dédouane de toutes responsabilités si un cas similaire se représentait : « VOUS RECONNAISSEZ ET ACCEPTEZ QUE VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ DE VOTRE USAGE DU SITE ET DE TOUT SOFTWARE OU FIRMWARE QUE VOUS Y TÉLÉCHARGEREZ. VOUS RECONNAISSEZ ET ACCEPTEZ QUE LES INFORMATIONS QUE VOUS ENVOYEZ OU RECEVEZ PENDANT VOTRE UTILISATION DU SITE NE SONT PAS SÉCURISÉES ET PEUVENT ÊTRE INTERCEPTÉES OU ACQUISES PLUS TARD PAR DES PARTIES NON AUTORISÉES ».

Un porte-parole de Vtech a expliqué que la politique d'utilisation d'Explora Park est comme celles proposées par de nombreux sites et services dans la mesure où « de telles limitations (de responsabilité) sont fréquentes sur le web ».

Mais des experts en sécurité et en vie privée ont estimé que cette clause pourrait être une tentative pour éviter les poursuites si des intrusions futures dans les données des utilisateurs venaient à se reproduire. Ils ont estimé pour leur part que les utilisateurs devraient être au courant de cette modification qui a pour but de limiter la responsabilité de VTech, d'autant plus que l'entreprise s’immisce désormais dans le domaine de la surveillance maison.

Rik Ferguson, le vice-président de la recherche de Trend Micro, a estimé que cette nouvelle clause est « scandaleuse, impardonnable , ignorante, opportuniste , et indéfendable ». Van Daalen, ancien directeur de bits of Freedom qui est devenu un avocat privé aux Pays-Bas, a avancé que « cette clause qui vise à couvrir leurs arrières ne fonctionne pas vraiment en Union européenne. Sous la loi européenne, vous avez l'obligation de sécuriser les données et vous ne pouvez pas y renoncer en mettant quelque chose comme ça dans les termes et conditions que vous avez avec vos clients ».

Pour Angela Campbell, professeur de droit à l'université de Georgetown qui s'est spécialisée dans la protection de la vie privée et du consommateur, en vertu de la COPPA (Children's Online Privacy Protection Act), cette clause pourrait ne pas marcher aux États-Unis. Elle rappelle que la COPPA stipule que les sites web et entreprises qui collectent les données des enfants doivent informer les parents sur la nature des données collectées et ont l'obligation « d'établir et de maintenir des procédures raisonnables pour protéger la confidentialité, la sécurité et l'intégrité des informations personnelles collectées des enfants ».

James Denaro, un avocat qui a fondé l'entreprise CipherLaw, soutient que plusieurs sites ont adopté de telles clauses : « ils se dédouanent un peu maladroitement, suite au piratage, mais c'est une disposition tout à fait raisonnable dans des conditions d'utilisation parce que personne ne pourrait promettre d'être parfaitement sécurisé ».

Source : VTech, Vtech (conditions d'utilisation), motherboard

[Saverok]

James Denaro, un avocat qui a fondé l'entreprise CipherLaw, soutient que plusieurs sites ont adopté de telles clauses : « ils se dédouanent un peu maladroitement, suite au piratage, mais c'est une disposition tout à fait raisonnable dans des conditions d'utilisation parce que personne ne pourrait promettre d'être parfaitement sécurisé ».

Je pense que ce monsieur et moi-même n'avons pas la même définition du mot "raisonnable"

[Aurelien Plazzotta]

Bonjour, Je suis d'accord avec vous Saverok mais l'avocat de CypherLaw saisit l'opportunité de lancer sa campagne de publicité pour faire un appel du pied aux futures entreprises ayant besoin de recourir à ses services en cas de procès de clients réclamant des dédommagements suite à une atteinte à leur vie privée. A une époque où la vie privée est en phase de transition entre une relique du passé et un droit inaliénable, James Denaro a bien compris que défendre des entreprises comme VTech est devenu un énorme segment de marché bien juteux à exploiter. Ce genre d'individu n'aura donc jamais la même définition que nous, potentiels clients, en matière de "raisonnable". En cas de polémique, il aura juste à déclarer qu'il a besoin de gagner sa croûte et se contente de faire son métier...

[Max Lothaire]

Même s'ils pouvaient se dédouaner de ce genre de responsabilités, ils ont quand même une obligation de moyen en ce qui concerne la protection des données collectées.
Vous me direz, encore faut-il prouver les manquements à cette obligation

[petitours]

Bonjour

Ça choque que moi que l’on parle de sécurité des connexions (donc à un réseau qui a besoin de l'être) pour des jouets ?
Qu'est ce que la société gagne avec des jouets qui sont connectés, qui plus est à internet ? un jouet n'est ce pas des montagnes de lego, des peluches, des morceaux de bois, des crayons et des papiers, des tampons, des ballons, des vélos... ?

Je trouve complètement hors sujet de parler d'éviter les failles de sécurité liées à des appareils qui ne devraient tout simplement pas exister !

Vous allez me dire, il n'y a pas que les jouets... Ok mais plus haut on nous parle de "grille pain". J'ai beau aimer la technologie, programmer des microcontrôleurs avec des connexions GSM, BT ou wifi et être un peu geek sur les bords je reste dubitatif sur la notion de grill pain connecté il fait quoi ? il dit au placard de préparer le pain ? ça n'a pas de sens en terme de développement durable et encore moins en terme d'usage ; quand on a les doigts dans la confiture et qu'on dit bonjour à sa femme et ses enfants le smartphone est sensé être bien loin et en tous cas sert objectivement et pour toujours à rien.

Dans les 2 cas, pourquoi ouvert sur l'internet ?
Pouvoir laisser les enfants à la maison sans surveillance en les "surveillant" depuis le smartphone et faire des orphelins abandonnés s'il vous arrive quelque chose dehors ? (l'inverse est arrivé il y a pas longtemps avec la maman sortie et la maison en feu)
Pouvoir allumer le grill pain depuis dehors, histoire de mettre le feu à la maison sans surveillance alors qu'il y a bébé qui dort seul dans la maison, lui aussi surveillé à distance ?

[Saverok]

Je trouve complètement hors sujet de parler d'éviter les failles de sécurité liées à des appareils qui ne devraient tout simplement pas exister !

Je trouve hors sujet de décider ce qui doit exister ou non.
Dans le cas de ces jouets, il peut arriver que ce soit lié à de la reconnaissance vocale où dans ce cas, comme les tv Samsung, la reco se fait via le cloud sur d'autres serveurs.
Ce n'est pas pas fait en local sur ledit jouet car il coûterai trop cher.

Personnellement, je trouve stupide cette mode du tout connecté.
Mais il y a un monde entre trouver quelque chose bête et déclarer qu'il ne devrait pas exister.
je suis sûr qu'il y a des trucs que j'adore que d'autres trouvent stupides mais je revendique mon droit à acheter ces trucs (je mène actuellement un combat de tous les jours face à ma femme pour l'existence du Nutella éphémère dans mes placards malgré toutes les merdes que ça peut contenir )

[petitours]

Bonjour

Le développement durable et nos enfants nous autorise à essayer de faire des choses un peu meilleurs si. Si ça n'apporte pas le moindre confort ou progrès ça devient une évidence, voir notre responsabilité.
indépendamment de ce point de vue il y a l'informatique : qu'un jouet, une imprimante ou un grille pain puisse se mettre au même niveau que le pc qui gère la compta ou que les données client d'une entreprise ça n'a pas de solution.
Si réseau il faut pour les gadget il faudra que ça reste simple à mettre en œuvre et cela ne peut se faire qu'en marge, de manière complètement déconnectée des réseaux plus ou moins sensibles.

[Saverok]

il y a l'informatique : qu'un jouet, une imprimante ou un grille pain puisse se mettre au même niveau que le pc qui gère la compta ou que les données client d'une entreprise ça n'a pas de solution.
Si réseau il faut pour les gadget il faudra que ça reste simple à mettre en œuvre et cela ne peut se faire qu'en marge, de manière complètement déconnectée des réseaux plus ou moins sensibles.

Si tu prônes la segmentation, autant y aller à fond.
Pourquoi un site web people serait au même niveau que le site de ta banque ?
Pourquoi une vidéo youtube d'un chaton serait au même niveau que la vidéo youtube du discours d'un politique ?
etc.
Si tu mets la main là dedans, gars aux dérives.

Personnellement, je suis pour la neutralité du réseau, sa mutualisation et la responsabilisation des acteurs.
Le dernier point est particulièrement important dans le cadre de VTech