Même les sex-toys vous espionnent
Un fabricant de vibromasseurs connectés versera 3,75 millions de dollars à ses clients, dont il a pu exploiter les données personnelles. Ce scandale intervient après une affaire de peluches reliées à Internet qui avaient pu être piratées
TECHNOLOGIE Un fabricant de vibromasseurs connectés – pouvant être contrôlés via Bluetooth par le smartphone de leur propriétaire – a été condamné à verser 3,75 milions de dollars à ses clients. Motif: exploitation de données personnelles. Ce cas de piratage emblématique, qui intervient après une affaire de peluches reliées au Web, devrait entamer un peu plus la confiance du public dans l’Internet des objets.
La confiance envers les objets connectés risque de diminuer encore après une nouvelle affaire d’espionnage à distance. Dans la nuit de mardi à mercredi, la société canadienne Standard Innovation a été contrainte par un tribunal de Chicago de verser 3,75 millions de dollars américains à des clients plaignants. Ces derniers avaient acheté des sex-toys contrôlés via une application pour smartphone. Des employés du fabricant avaient eu accès à leurs données d’utilisation. Cette affaire fait immédiatement suite à un scandale impliquant le piratage possible de comptes liés à des peluches pour enfants.
En janvier 2016, Standard Innovation présentait fièrement ses accessoires connectés au salon CES de Las Vegas, sous la marque We-Vibe. Ses nouveaux sex-toys, appelés «Sync», «4 Plus» et «Classic», permettent à leurs utilisateurs de les contrôler via leur téléphone, par la technologie sans fil Bluetooth. Il est aussi possible pour leurs partenaires de les activer à distance et d’utiliser en parallèle un service de messagerie instantanée.
Société curieuse
Vendus une centaine de francs (aussi en Suisse), ces accessoires avaient été montrés du doigt en été 2016, lors de la conférence Def Con, tenue aussi à Las Vegas, dédiée à la sécurité informatique. Deux pirates néozélandais, connus sous les pseudos «goldfisk» et «follower», avaient alors montré comment une tierce personne pouvait prendre le contrôle du sex-toy – ce qui pouvait s’assimiler, selon eux, à une agression sexuelle.
Immédiatement, une plainte collective était déposée par deux clientes, demeurées anonymes, auprès d’un tribunal de Chicago. Celles-ci n’accusent pas Standard Innovation de ne pas assez protéger leurs données. Mais bien de les lire. Selon les plaignantes, la société a eu elle-même accès à toutes les données (température de l’appareil, intensité des vibrations, etc.) pouvant relier le comportement de ses clientes avec leur adresse.
Cette semaine, Standard Innovation a accepté de débourser 3,75 millions de dollars, qui seront répartis parmi les clients. Selon l’accord judiciaire, environ 300000 personnes ont acheté des appareils couverts par la plainte collective et 100000 ont téléchargé et utilisé l’application pour smartphone.
Cette affaire illustre la fragilité de l’Internet des objets. Des réfrigérateurs aux jouets, en passant par les machines à café et les voitures, tout devient connecté à Internet. Selon une récente étude de la société de recherche Gartner, il y a aujourd’hui 6,4 milliards d’objets reliés au Net. D’ici à 2020, il y en aura 20,8 milliards.
Les fabricants d’objets, tel Standard Innovation, en profitent-ils pour en savoir trop sur leurs clients? «Je ne pense pas que les fabricants s’intéressent à notre vie privée, estime Philippe Oechslin, directeur de la société Objectif Sécurité à Gland (VD). Une partie de la collecte d’informations est simplement un dommage collatéral du fait qu’il est compliqué de développer des applications qui garantissent l’anonymat. Et il est bien plus simple pour les fabricants de centraliser les informations.» Mais le spécialiste se dit «convaincu que beaucoup de fabricants ne se gênent pas pour exploiter les données qui peuvent leur faire gagner de l’argent, par exemple par le biais de la publicité ciblée».
Dans un tout autre registre que celui des sex-toys, c’était le marché des peluches qui était secoué, fin février, par une affaire comparable. Un spécialiste de défense des internautes avait découvert que les informations personnelles de 821000 détenteurs de peluches de la marque CloudPets étaient facilement accessibles par des tiers. La base de données globale n’était pas protégée et des pirates étaient capables de se faire passer pour les parents et d’envoyer des messages vocaux à des enfants via leur peluche connectée.
«Beaucoup de fabricants ne se gênent pas pour exploiter les données afin de gagner de l’argent» PHILIPPE OECHSLIN, DIRECTEUR D’OBJECTIF SÉCURITÉ
«Clients plus prudents»
Ce genre de scandales va-t-il miner la confiance des consommateurs envers les objets connectés? «Oui. Avec la publication de ce genre d’affaires, les consommateurs vont être plus prudents lorsqu’il s’agit de donner des informations sensibles à un objet connecté, ou même à une application de leur smartphone», estime Philippe Oechslin.
▅