Technologie

L’affaire des sex-toys espions illustre la fragilité de l’Internet des objets

La société canadienne Standard Innovation va verser 3,75 millions de dollars à ses clients, dont il a pu exploiter les données personnelles. Ce scandale intervient juste après une affaire de peluches connectées dont les comptes avaient pu être piratés. La confiance en l’Internet des objets risque de baisser

La confiance envers les objets connectés risque de diminuer davantage après une nouvelle affaire d’espionnage à distance. Dans la nuit de mardi à mercredi, la société canadienne Standard Innovation a été contrainte par un tribunal de Chicago de verser 3,75 millions de dollars américains à des clients plaignants. Ces derniers avaient acheté des sex-toys contrôlés via une application pour smartphone. Des employés du fabricant avaient eu accès à leurs données d’utilisation. Cette affaire fait immédiatement suite à un scandale impliquant le piratage possible de comptes liés à des peluches pour enfants.

En janvier 2016, Standard Innovation présentait fièrement ses accessoires connectés au salon CES de Las Vegas, sous la marque We-Vibe. Ses nouveaux sex-toys, appelés «Sync», «4 Plus» et «Classic», permettent à leurs utilisateurs de les contrôler via leurs téléphones, par la technologie sans fil Bluetooth. Il est aussi possible à leur partenaire de les activer à distance et d’utiliser en parallèle un service de messagerie instantanée.

Société curieuse

Vendus une centaine de francs (aussi en Suisse), ces accessoires avaient été montrés du doigt en été 2016, lors de la conférence Def Con, tenue aussi à Las Vegas, dédiée à la sécurité informatique. Deux pirates néozélandais, connus sous les pseudos «goldfisk» et «follower», avaient alors montré comment une tierce personne pouvait prendre le contrôle du sex-toy – ce qui pouvait s’assimiler, selon eux, à une agression sexuelle.

Immédiatement, une plainte collective était déposée par deux clients, demeurés anonymes, auprès d’un tribunal de Chicago. Celles-ci n’accusent pas Standard Innovation de ne pas assez protéger leurs données. Mais bien de les lire. Selon les plaignantes, la société a eu elle-même accès à toutes les données (température de l’appareil, intensité des vibrations) pouvant relier le comportement de ses clientes avec leur adresse.

Clients dédommagés

Cette semaine, Standard Innovation a accepté de débourser 3,75 millions de dollars, qui seront répartis parmi les clients. Selon l’accord judiciaire, environ 300 000 personnes ont acheté des appareils couverts par la plainte collective et 100 000 ont téléchargé et utilisé l’application pour smartphone.

Lire aussi: Comment un téléviseur peut vous espionner

Cette affaire illustre la fragilité de l’Internet des objets. Des réfrigérateurs aux jouets, en passant par les machines à café et les voitures, tout devient connecté à internet. Selon une récente étude de la société de recherche Gartner, il y a aujourd’hui 6,4 milliards d’objets reliés au Net. D’ici à 2020, il y en aura 20,8 milliards.

«Dommage collatéral»

Les fabricants d’objets, tel Standard Innovation, en profitent-ils pour en savoir trop sur leurs clients? «Je ne pense pas que les fabricants s’intéressent à notre vie privée, estime Philippe Oechslin, directeur de la société Objectif Sécurité à Gland (VD). Une partie de la collecte d’information est simplement un dommage collatéral du fait qu’il est compliqué de développer des applications qui garantissent l’anonymat. Et il est bien plus simple pour les fabricants de centraliser les informations.» Mais le spécialiste se dit «convaincu que beaucoup de fabricants ne se gênent pas d’exploiter les données qui peuvent leur faire gagner de l’argent, par exemple par le biais de la publicité ciblée.»

Dans un tout autre registre que celui des sex-toys, c’était le marché des peluches qui était secoué, fin février, par une affaire comparable. Un spécialiste de défense des internautes avait découvert que les informations personnelles de 821 000 détenteurs de peluches de la marque CloudPets étaient facilement accessibles par des tiers. La base de données globale n’était pas protégée et des pirates étaient capables de se faire passer par les parents et d’envoyer des messages vocaux à des enfants via leur peluche connectée.

«Consommateurs plus prudents»

Ce genre de scandales va-t-il miner la confiance des consommateurs envers les objets connectés? «Oui. Avec la publication de ce genre d’affaires, les consommateurs vont être plus prudents lorsqu’il s’agit de donner des informations sensibles à un objet connecté, ou même à une application de leur smartphone», estime Philippe Oechslin.

Lire aussi: La Suisse mise sur l’Internet des objets

Publicité