Les jouets pour enfants font face à de sérieux problèmes de confidentialité

Compte tenu de la réglementation générale et des lois destinées à protéger la vie privée des enfants en particulier, vous pourriez penser que les appareils électroniques et les jouets connectés sont particulièrement fiables et sûrs. Nous considérons généralement la vie privée des enfants comme étant sacrée, les enfants sont particulièrement vulnérables aux annonceurs, marketeurs, prédateurs, et plus encore.

A cause de nouvelles fuites de données qui voient le jour, il est de plus en plus évident qu’on ne peut pas faire confiance aux fabricants pour prendre soin de notre sécurité, ou de celle de nos enfants. Analysons quelques exemples pour comprendre les mauvaises surprises que peuvent nous réserver les jouets intelligents.

Espionnage

En décembre 2016, les défenseurs de la vie privée ont déposé une plainte auprès de la Federal Trade Commission des Etats-Unis contre Genesis Toys, fabricant des poupées Cayla et des robots jouets i-Que. Nuance Communications a également été mis sur le banc des accusés, cette entreprise est à l’origine de la technologie de reconnaissance vocale permettant aux jouets de converser avec les enfants.

Les plaignants ont été plutôt clairs depuis le début : « Cette plainte concerne les jouets qui espionnent« .

Analysons les éléments de cette plainte :

  • L’application que les poupées Cayla utilisent pour interagir nécessite une autorisation pour accéder aux fichiers enregistrés sur un appareil, et l’application i-Que demande l’autorisation d’accéder à la caméra de l’appareil. Le vendeur n’explique pas pourquoi les applications ont besoin de ces autorisations. De plus, l’autorisation d’accéder à la caméra n’est pas citée sur le site web officiel ou dans la vidéo de démonstration.
  • Pour se connecter à un smartphone ou à une tablette, les jouets utilisent le Bluetooth, une connexion non sécurisée qui ne requiert pas d’authentification. De plus, le jouet n’avertit pas les utilisateurs lorsqu’il se connecte à l’appareil. Ce manque de sécurité peut permettre à un intrus non pas seulement d’écouter mais aussi de parler au jouet.
  • Les jouets font de la publicité, en citant plusieurs noms de marques pendant la conversation.
  • L’application de la poupée Cayla incite les enfants à fournir des informations personnelles identifiables : noms des parents, lieu de résidence, nom de l’école, et plus encore.
  • Les deux applications envoient des enregistrements de conversations aux serveurs de Nuance Communication où ils sont analysés afin d’améliorer les réponses. Les enregistrements sont stockés sur les serveurs, à nouveau dans le but d’améliorer le service.
  • Les fabricants ne parviennent pas à expliquer clairement le type de données qu’ils recueillent auprès des enfants.

Les capacités d’espionnage de Genesis Toys étaient une raison suffisante pour que les régulateurs allemands interdisent complètement la vente. Ceux qui possèdent des jouets non sécurisés ont été invités à se débarrasser d’eux. Le gouvernement allemand identifie de tels jouets comme étant des dispositifs de surveillance dissimulés, qui sont interdits par la loi.

En décembre 2016, la protection des consommateurs de la Norvège avait déjà exprimé ses inquiétudes face aux problèmes de confidentialité des poupées Cayla et des robots i-Que.

A contrario, la British Toy Retailers Association a signalé à la BBC que Cayla ne « comportait pas de risques particuliers ».

Insécurité

Lors d’un autre incident de sécurité, le mot « fuite » était un mot faible pour décrire l’ampleur de la faille. Pour aller plus loin dans la métaphore, ce fut une rupture catastrophique de barrage qui a provoqué une inondation, voire même un déluge de données personnelles. Ou pour être plus précis, il n’y avait pas de barrage pour commencer.

Les CloudPets de Spiral Toys sont des animaux en peluche qui échangent des messages entre les enfants et les parents. Le jouet se connecte aux smartphones des parents via le Bluetooth, et les parents utilisent une application spéciale pour se connecter au jouet.

C’est sans doute une excellente façon pour les parents de rester en contact avec leurs enfants, cependant le contenu recueilli par le système n’était pas sécurisé correctement. La base de données des informations sur les utilisateurs n’était pas du tout protégée. Personne ne pouvait se connecter au serveur sans s’identifier, consulter les données, ou dupliquer la base de données et la sauvegarder sur un autre ordinateur.

Le chercheur en sécurité Victor Gevers a signalé le problème au vendeur le 31 décembre 2016. Ensuite, Troy Hunt, un expert en sécurité reconnu, a reçu d’une source anonyme un fichier contenant plus d’un demi-million d’enregistrements d’utilisateurs de ClouPets. En plus du nom des enfants, chaque enregistrement comportait une date de naissance et des informations sur les proches des enfants avec qui ils avaient parlé par le biais du jouet. Le nombre total d’enregistrements d’utilisateurs piratés de CloudPets a dépassé la barre des 800 000.

Un inconnu en possession du mot de passe peut télécharger tous les messages envoyés par le biais du jouet. Contrairement aux autres données, les mots de passe des utilisateurs ont été hachés dans le but de les protéger. Le hachage offre une certaine protection, même si les attaques par force brute peuvent toujours dévoiler des mots de passe, en particulier ceux qui sont simples.

Malheureusement, il est également possible d’écouter des conversations sans le mot de passe. Il s’avère que les enregistrements des messages et des images ont été enregistrés dans le Cloud sur un Amazon S3. Le détracteur n’avait qu’à cliquer sur un lien provenant de la base de données piratée pour obtenir un fichier audio du serveur. Le nombre total d’enregistrements disponibles a dépassé les 2 000 000.

Bien sûr, ce ne sont pas seulement les hackers au chapeau blanc qui ont appris le concept d’insécurité. Le serveur stockant les données des enfants s’est retrouvé en pagaille, des copies de données ayant été supprimées et des demandes de rançon établies. La base de données a été par la suite supprimée, bien que des copies puissent encore subsistées.

Spiral Toys n’a pas répondu aux personnes qui essayaient de lui signaler le problème, parmi elles se trouvaient Gevers, Hunt, l’informateur d’Hunt et le journaliste Lorenzo Franceschi-Bicchierai. En Mars 2017, le Sénat américain a demandé à Spiral Toys d’être transparent sur les fuites de données et sa politique de protection des données. Troy Hunt a publié le texte de cette demande.

Spiral Toys a fini par répondre, au procureur général de Californie. DataBreaches.net a publié la réponse. L’entreprise a déclaré qu’elle avait été informée de l’incident le 22 février dernier par Franceschi-Bicchierai, qui avait été tenu au courant du piratage par le biais d’une source anonyme. Même si un certain nombre de chercheurs en sécurité ont essayé de contacter l’entreprise avant le 22 février, Spiral Toys avait déclaré qu’il n’avait jamais reçu de messages et qu’il enquêtait sur le motif.

Comme l’a souligné Spiral Toys, la fuite faisait partie d’une attaque massive sur les versements de MongoDB partout sur Internet. Selon l’entreprise, les messages vocaux et les images n’ont pas été affectés, du fait qu’ils étaient stockés sur un autre serveur. La base de données piratée n’était pas la base de données principale, mais une qui était temporaire et utilisée par les développeurs.

Spiral Toys a également publié une FAQ pour les utilisateurs comportant les informations ci-dessus et en mentionnant les nouvelles règles de l’entreprise concernant des mots de passe plus sécurisés.

Base de données ouverte

D’autres fuites importantes ont concerné la base de données du site web officiel de l’entreprise des jouets Hello Kitty (3 300 000 enregistrements d’utilisateurs piratés) et la base de données de la boutique en ligne VTech (5 500 000 fichiers de comptes d’utilisateurs et une quantité énorme de photos piratées). Ces deux incidents se sont produits en 2015.

Le service CloudPets et les développeurs du site web Hello Kitty avaient utilisé la solution de gestion de base de données MongoDB, ce qui avait fait la une des médias suite au piratage des hackers (ou, plus précisément, la prise de contrôle) de dizaines de milliers de base de données.

Ceux qui possèdent des bases de données détournées peuvent être des victimes, mais ils ne sont pas innocents pour autant. En ne demandant pas d’autorisation, MongoDB a laissé les portes ouvertes de la base de données, et en utilisant des bases de données ouvertes, les fabricants ont indiqué que ça leur était égal.

Bien sûr, MongoDB n’est pas l’unique problème, l’état général de la sécurité doit s’améliorer. Tous les efforts déployés par les organismes de réglementation, les défenseurs de la vie privée et les experts en sécurité ne peuvent tout simplement pas surmonter la rapidité de l’adoption d’une nouvelle technologie et la tendance générale de la dévaluation des données de l’utilisateur.

A propos, après le piratage de MongoDB, les hackers ont mené des attaques massives sur des systèmes de gestion de bases de données distribuées. N’importe quelle base de données non protégée finira par être divulguée en ligne, et un utilisateur lambda ne sera pas en mesure de faire quoi que ce soit. Il est de piètre consolation que de penser qu’une fuite de base de données n’est que temporaire et auxiliaire si la base de données est bien réelle. Fermer un système piraté ne fera pas revenir vos données comme par magie.

Conseils pour les parents

Soyez vigilant lorsque vous offrez à votre enfant un jouet électronique intelligent. Notamment, si vous constatez ces faits :

  • Si le jouet envoie des données à Internet. Beaucoup de jouets le font et la tendance s’étend même à des jouets en peluche classiques.
  • Si vous ne pouvez pas contrôler les actions du jouet. Au moins, les poupées Cayla ont un indicateur clignotant qui montre que le microphone est activé. Avec les apps mobiles, vous ne pouvez même pas savoir quand elles se lancent. Kaspersky Lab a découvert que 96% des applications se lancent en mode arrière-plan, même si un utilisateur ne les lance pas.
  • Si un jouet est équipé d’un microphone et d’une caméra. Il ne s’agit pas seulement des ours en peluche et des robots, cette catégorie comprend des applications mobiles dotées des autorisations correspondantes.
  • Si un jouet demande des informations personnelles à un enfant. Par exemple, une connexion Bluetooth ne requiert pas d’authentification.

Un seul de ces points est suffisant pour reconsidérer l’équilibre entre les jouets connectés et la vie privée de vos enfants.

Source: Antivirus

Un registre public d'accessibilité bientôt disponible dans les établissements recevant du public (ERP)

À partir du 30 septembre 2017, un registre public d’accessibilité sera mis à disposition dans les établissements recevant du public (ERP). Le registre public d’accessibilité sera consultable par le public sur place au principal point d’accueil accessible de l’établissement, éventuellement sous forme dématérialisée (à titre alternatif, il sera mis en ligne sur un site internet).

Source: Service Public

Quels boulots les robots pourront faire à notre place ?

Les robots modernes sont très compétents. Ils peuvent porter des charges lourdes, sauter plus haut que des champions olympiques, marcher sur un terrain accidenté, sauver des vies, protéger et détruire. Les robots intelligents, utiles, dangereux font tout ça à la fois et plus encore. Dans cet article, nous mettons en lumière dix robots incroyables qui servent l’humanité en ce moment ou qui s’y préparent.

Top 10 des robots prêts à prendre le contrôle (ou presque)

Chirurgien robotique

Depuis son lancement en 2000, le chirurgien robotique da Vinci a aidé plus de 3 millions de patients à travers le monde. Les développeurs expliquent que le dispositif chirurgical est à 100% sous le contrôle du chirurgien et lui donne une vue 3D HD à l’intérieur du corps du patient. Le robot utilise de minuscules instruments au poignet qui se courbent et tournent, et fournit une meilleure vision, précision et contrôle.

Cuisinier robotique

Ce n’est pas seulement un simple robot mais aussi un système de cuisine équipé, le robot de cuisine a deux mains robotiques impressionnantes afin de mixer des ingrédients et de broyer du poulet. Il utilise également un robot culinaire à la place des couteaux, (tout le monde n’est cependant pas prêt à avoir un robot doté d’un couteau chez soi).

Les publicités promettent que le cuisinier robotique cuisine comme un humain « avec la même vitesse, sensibilité et les mêmes mouvements ». Pour y arriver, les développeurs ont enregistré les mouvements de Tim Anderson, le gagnant de Master Chef sur la BBC, et ont appris au robot à répéter chacun de ses « mouvements, nuances et grands gestes ». La version grand public de la cuisine sera lancée en 2018.

Le robot cowboy

Le cybercowboy est toujours en cours de développement, mais les derniers tests semblent prometteurs : SwagBot rassemble des animaux, porte des choses, et s’occupe des cultures entièrement à part entière. Le berger robotique a été conçu par les chercheurs de l’université de Sydney et l’Australian Centre for Field Robotics afin d’aider des éleveurs dans certaines régions isolées d’Australie, où les villes et les voisins se trouvent à des heures d’intervalle.

Lors des tests sur le terrain, les vaches avaient naturellement peur de leur nouvel éleveur, espérons donc qu’avec le temps les animaux s’adapteront aux cowboys robotiques.

Les cyberfermiers

Un certain nombre de fermiers robotiques sont en cours de développement dans le monde entier. Par exemple, l’open source FarmBot est censé prendre soin de votre jardin. Le logiciel est gratuit, mais vous devrez payer le hardware (ou trouver les pièces). Mais ne vaut-il pas la peine de dire que vous avez un robot fermier qui fait tout à votre place dans votre jardin ?

Voici un prototype de système d’exploitation robotique industrielle appelé AgBot : cette solution est conçue pour lutter contre les mauvaises herbes. Il est équipé de caméras et de capteurs et doté d’un logiciel intelligent pour travailler en groupes autonomes. Les robots travaillent ensemble pour inspecter, trouver, et classer les mauvaises herbes. L’AgBot est capable de détecter des mauvaises herbes « soit chimiquement soit mécaniquement, ainsi que d’appliquer des engrais pour la gestion des cultures spécifiques au site ».

Robot ouvrier

Il n’est pas étonnant que des géants technologiques utilisent des robots dans leurs usines. Par exemple, en 2015, l’entreprise chinoise Everwin Precision Technology a remplacé 90% de ses travailleurs par des robots. Le fournisseur Foxconn d’Apple et Samsung a également remplacé 60 000 employés par des robots. Amazon utilise déjà plus de 30 000 anciens robots Kiva sur ses installations et va continuer à ajouter davantage de machines intelligentes.

Le travail en usine est sans doute le plus influencé par le processus d’automatisation de nos jours, cependant les travailleurs en usine ne doivent pas paniquer pour autant : Amazon recrute toujours.

Le drone messager

On ne peut pas prétendre qu’Amazon aime les robots. C’est la raison pour laquelle ils souhaitent des drones dans leur service de livraison. Ce n’est pas une mauvaise idée. Imaginez un seul instant sortir le matin, prendre un café, profiter du lever du soleil, et accepter un colis provenant d’un drone volant. Un jour peut-être !

Amazon n’est pas le seul. Nous avions déjà entendu parler de la livraison de pizzas par drone. UPS possède son propre plan pour les drones de livraison : les transporter à l’intérieur des camions et les lancer à différents endroits le long de leur parcours. Toutefois, les règlements sur les droits des drones sont assez stricts dans plusieurs pays, par conséquent on ne devrait pas voir de robots de livraison d’ici un certain temps.

Les journalistes de l’intelligence artificielle

Alors que les robots matériels ne peuvent pas encore nous fournir de pizzas, d’autres logiciels similaires se préparent à diffuser des nouvelles à l’humanité. Le logiciel de génération de langue naturelle appelé Quill développé par Narrative Science est conçu pour écrire de nouvelles histoires. Et les articles sont plutôt lisibles :

« Le secteur de l’énergie a été le principal contributeur à la performance relative, menée par la sélection de titres de matériel et de services énergétiques dans les entreprises. En ce qui concerne les contributeurs individuels, un poste dans la société de services et d’équipements énergétiques Oceaneering International a été le principal contributeur aux rendements. La sélection des titres a aussi contribué à des résultats relatifs dans le secteur de la santé. Le positionnement dans l’industrie des équipements et des fournitures de soins de santé a beaucoup aidé ».

Ça ne mérite peut-être pas un Pulitzer, cependant il fournit efficacement des informations, ce qui est le premier et principal objectif de chaque nouvelle histoire.

Bibliothécaire robotique

Parfois une bibliothèque a besoin d’un bibliothécaire robotique, et d’un énorme système de stockage et de récupération automatisé, afin de gérer toutes les ressources. C’est exactement ce qui s’est passé à la bibliothèque de l’Université du Missouri–Kansas City. Mettre en place un bibliothécaire robotique a permis à l’université de disposer de plus d’espace. Voyez par vous-même !

Robot de sécurité

Certains robots protègent nos biens et maintiennent l’ordre dans les centres commerciaux et dans les rues de la ville. Avec 1,5 mètres de hauteur et 0,9 mètres de largeur, le robot K5 est équipé d’un GPS, de lasers, de capteurs et de caméras, permettant au robot d’éviter des obstacles et de surveiller les alentours. K5 sert déjà la société dans plusieurs endroits : la surveillance des voitures Uber à San Francisco et la recherche de voleurs à l’étalage connus au centre commercial de Stanford à Palo Alto, en Californie.

Malheureusement, les gardes robotiques ne sont pas parfaits.

Soldat robotique

L’armée a toujours été à la pointe de la technologie, donc naturellement, nous avons découvert que les forces armées développaient des moyens robotiques pour patrouiller, défendre et attaquer. Il existe déjà des robots qui nettoient les mines du fond de l’océan ou gardent les frontières de la mer. Il existe également des robots qui peuvent détecter une respiration effrayée, bien qu’un mur, et des robots puissent évacuer des soldats blessés.

Voici des robots insectoïdes intéressants qui ressemblent à de petites abeilles conçus pour espionner et procéder à la reconnaissance.

Il est prudent de dire que les développements majeurs sont gardés en secret, cependant nous avons trouvé une vidéo intéressante d’un chien de l’armée robotisée conçu pour accompagner des soldats et transporter des fournitures sur les routes rurales. Bon visionnage !

Faire un inventaire

Certains chercheurs indiquent que les robots vont prendre nos emplois. Les médias diffusent de plus en plus de nouvelles qui font les gros titres, ce qui alimente les préoccupations concernant la sécurité de l’emploi. D’autres chercheurs s’interrogent sur l’inévitabilité d’une « bombe d’automatisation » en déclarant que ça ne va pas avoir lieu dans un futur proche, et que lorsque ça arrivera, les robots créeront de nouveaux emplois hautement qualifiés pour combler l’écart.

Tôt ou tard, encore plus de machines entreront dans nos vies. Nous devrons attendre et voir quels emplois disparaîtront puisqu’ils seront exécutés par des robots. Et qui sait, peut-être que grâce aux machines qui travaillent dur, nos enfants seront tous capables de poursuivre tous ce qu’ils veulent et de devenir des astronautes, des artistes, des voyageurs ou d’exercer des professions qui n’ont pas encore été inventées.

Dans un futur proche, il y aura une forte demande pour les spécialistes en sécurité afin de protéger ces robots des cybercriminels.

Source: Antivirus

Réservation de voyage en ligne : n'oubliez pas les frais cachés !

Vous préparez sur internet votre voyage ? Vous cherchez un billet d’avion sur un site de comparateur de prix ? Mais qu’en est-il du prix final réellement proposé au consommateur ? Quels sont les frais supplémentaires autorisés et quels sont ceux interdits ? L’Institut national de la consommation (INC) fait le point sur les « frais cachés » en matière de réservation de voyage en ligne.

Source: Service Public

Piratage de voiture : Hyundai corrige plusieurs failles dans son application automobile

Piratage de voiture, suite ! Après Bosch, voici que le constructeur automobile sud-coréen Hyundai corrige plusieurs vulnérabilités dans ses applications dédiées à ses voitures. Des pirates pouvaient localiser, débloquer et démarrer des véhicules. La grande course du piratage informatique de voiture …

Cet article Piratage de voiture : Hyundai corrige plusieurs failles dans son application automobile est apparu en premier sur ZATAZ.

Source: zataz