La Commission européenne ordonne le rappel d’une montre connectée

Protection de la vie privée : La Commission européenne ordonne le rappel d’une montre connectée

Il s'est avéré que la montre expose ses utilisateurs à un niveau élevé de risque d'être contacté et surveillé par des attaquants.

Il s’est avéré que la montre expose ses utilisateurs à un niveau élevé de risque d’être contacté et surveillé par des attaquants.

La Commission européenne a émis un ordre de rappel pour une montre à puce destinée aux enfants, car elle représente un risque sérieux pour la vie privée et la sécurité de ses utilisateurs.

La montre, appelée Safe-KID-One et commercialisée par la société allemande ENOX Group, est vendue en tant que « montre intelligente de haute technologie SIM/GPS pour la sécurité et la surveillance des enfants ». Il est équipé d’une série de fonctions, dont un tracker GPS, un haut-parleur et un microphone, ainsi que des fonctionnalités d’appel et de SMS.

Selon la fiche du produit, les parents peuvent utiliser l’application mobile associée, disponible pour les iPhones et les appareils alimentés par Android, pour localiser et suivre leurs enfants « pratiquement au mètre près », ainsi que pour enregistrer et consulter leurs déplacements sur une période donnée. « Vous pouvez dresser une « barrière géographique » autour de l’enfant et, s’il quitte cette zone, vous en serez immédiatement averti, » peut-on lire dans la fiche du produit.

Cependant, la Commission européenne a conclu que l’aspect sécuritaire des choses laisse beaucoup à désirer et estime que le niveau de risque associé à cette montre est « sérieux ». Le bras exécutif de l’UE a estimé que Safe-KID-One contrevient à la directive européenne sur les équipements hertziens, ce qui l’a amené à enjoindre aux autorités publiques de toute l’Europe de rappeler le produit auprès des utilisateurs.

« L’application mobile qui accompagne la montre a des communications non chiffrées avec son serveur backend, alors que ce serveur permet un accès non authentifié aux données. Par conséquent, les données telles que l’historique de localisation, les numéros de téléphone, le numéro de série peuvent être facilement récupérées et modifiées. Un utilisateur malveillant peut envoyer des commandes à n’importe quelle montre en appelant un autre numéro de son choix, communiquer avec l’enfant qui porte l’appareil ou localiser l’enfant par GPS », précise l’ordre de rappel publié par le Système d’alerte rapide pour les produits non alimentaires (RAPEX), un système utilisé dans l’UE et l’Espace économique européen (EEE) pour échanger rapidement des informations sur des produits non alimentaires dangereux.

La montre telle qu’affichée dans l’alerte RAPEX

ZDNet souligne que c’est la première fois que les autorités de l’UE émettent un ordre de rappel pour un produit pour des raisons de confidentialité ou de sécurité.

En réponse à cette décision, un représentant d’ENOX a indiqué au média The Register que la montre de l’entreprise avait passé un test de l’Agence fédérale allemande des réseaux. « Cette annonce RAPEX [est basée] sur un test effectué en Islande. Nous pensons que ce test était excessif – pas raisonnable, matériel ou juste – ou, basé sur un malentendu ou le mauvais produit (une version précédente du produit, qui n’est plus sur le marché), » indique la société.

Quoi qu’il en soit, les préoccupations concernant les technologies intelligentes pour les enfants ont déjà été soulevées et des mesures ont déjà été prises. Par exemple, l’Allemagne a introduit une interdiction générale des montres intelligentes destinées aux enfants à la fin de 2017 parce qu’elle craint que l’engin puisse être utilisé comme dispositif d’espionnage. En juin 2018, des problèmes de sécurité et de confidentialité ont incité les principaux détaillants en ligne à cesser de vendre une famille de jouets connectés au réseau appelée CloudPets.

Pour en savoir un peu plus sur les implications de la protection de la vie privée et de la sécurité des appareils technologiques portables, vous pourriez notamment consulter les articles suivants (en anglais) : How secure is your smartwatch? et Wearables: where’s the security risk?

Discussion