Télécom | Vie privée
Outils de contrôle parental : une solution risquée
Les enfants qui naviguent sur Internet font face à plusieurs dangers. Utiliser un outil de contrôle parental peut-il contribuer à les en protéger ? Pas si on en croit une récente étude.
Durant la pandémie, naviguer sur internet est devenu plus nécessaire que jamais, tant pour les adultes que pour les enfants. Avec tous les risques que cela comporte. Or, s’il existe plusieurs outils de contrôle parental susceptibles d’aider les parents à surveiller et à gérer les activités en ligne de leur progéniture, une vaste étude réalisée par l’Institut Concordia pour l’ingénierie des systèmes d’information (ICISI) nous apprend que ceux-ci ne sont pas sans risque. En fait, loin de mettre les enfants à l’abri, la plupart les rendent encore plus vulnérables.
Dans cette étude, intitulée Privacy Report Card for Parental Control Solutions (en anglais seulement), les chercheurs ont élaboré un cadre expérimental, puis regardé à la loupe différents types d’outils, incluant des périphériques en réseau, des applications Windows et des applications Android, afin d’en déceler les éventuelles failles. « Nous y avons étudié tous les outils de contrôle parental populaires », dit Mohammad Mannan, professeur associé à l’Université Concordia et coauteur de l’étude.
Des problèmes de toutes sortes
La tâche des chercheurs a été compliquée, car ils ont dû adapter leur cadre expérimental à chaque type de produits testé. Mais le résultat, lui, est simple et se résume en peu des mots : la grande majorité des outils de contrôle parental comportent d’importantes lacunes qui mettent en danger la confidentialité des données des utilisateurs ainsi que leur sécurité.
Parmi ces lacunes, mentionnons la transmission d’informations personnelles non cryptées au serveur de contrôle parental, des bases de données back-end mal configurées ou non identifiées qui ne sont pas sécurisées, des processus d’authentification déficients, la non-vérification du consentement parental, l’acceptation de mots de passe très faibles (de quatre caractères ou moins), le non-signalement aux parents d’une éventuelle activité suspecte, la présence de portes dérobées…
Les outils de contrôle parental recueillent plusieurs données : ce que font les enfants, avec qui ils parlent et quel est leur historique sur Facebook et Youtube. Avec les failles de sécurité que nous avons découvertes, nous constatons qu’il est facile d’y avoir accès. Sans compter que la géolocalisation, on peut aussi savoir où se trouve l’enfant, ce qui peut éventuellement le mettre en danger. »
Mohammad Mannan, professeur associé à l’Université Concordia et coauteur de l’étude
Notons que les failles de sécurité peuvent également mettre en danger les renseignements personnels des parents et même en venir à compromettre leur compte. « Certaines applications sont aussi puissantes qu’un système d’entreprise, dit M. Mannan. L’administrateur y a le pouvoir total. Il peut installer une application, en enlever une autre, bloquer un compte. Un tel pouvoir peut être utilisé pour contrôler les appareils des enfants. »
À qui la faute ?
Comment se fait-il qu’il y ait autant de problèmes ? M. Mannan pointe du doigt la mauvaise conception des outils de contrôle parental. « La plupart d’entre eux sont conçus comme s’ils ne traitaient pas des données sensibles, dit-il, alors que c’est tout le contraire. » Plus étonnant encore : des remèdes existent et ils sont faciles à appliquer.
Les problèmes que nous observons ne sont pas nouveaux, et ils ne sont pas difficiles à résoudre. Ça fait des années qu’on sait comment les régler. »
Mohammad Mannan
Alors, pourquoi les fabricants ne les ont-ils pas déjà réglés ? Après tout, si l’étude de l’ICISI est la plus vaste jamais publiée sur le sujet, elle n’est pas la seule à avoir levé le voile sur les problèmes liés aux outils de contrôle parental. « Je dirais qu’il y a eu beaucoup de négligence, dit M. Mannan. Mais bon, évidemment, il peut y avoir des raisons que je ne connais pas et qui expliquent qu’on en ait fait si peu. »
Les entreprises concernées ont été informées des problèmes liés à leurs produits pendant la réalisation de l’étude, mais seulement une faible proportion d’entre elles (3 sur 20) ont alors agi afin de les résoudre. « Les autres ne nous ont pas répondu ou nous ont approchés seulement après la divulgation des résultats, dit M. Mannan. Nous leur proposions pourtant de les aider gratuitement. »
Le chercheur est-il optimiste quant à la suite des choses ? Pas vraiment. « Pour qu’il y ait des changements, il faudrait que nous adoptions des règles strictes portant sur la confidentialité numérique , dit-il. Il faudrait aussi que ces règles soient appliquées. »
Aujourd’hui, les fabricants d’outils de contrôle parental font beaucoup d’argent en vendant leurs produits, mais ils n’assument aucune responsabilité. D’ailleurs, dans une perspective d’affaires, pourquoi le feraient-ils ? Ils ne sont jamais pénalisés… »
Mohammad Mannan
Notons qu’une bonne partie des outils analysés contrevenaient aux règles du Children’s Online Privacy Protection Act (COPPA) qui, aux États-Unis, imposent certaines exigences aux exploitants de sites Web et de services en ligne dans le but de protéger les enfants de moins de 13 ans.
Quoi faire maintenant ?
Les consommateurs devraient-ils éviter d’acquérir un outil de contrôle parental ? « Personnellement, je ne recommande plus ce type de produits », dit M. Mannan, qui conseille plutôt aux consommateurs de se tourner vers un outil dont ils disposent déjà, peut-être sans le savoir. « Google, Apple ou Windows comportent leur propre outil de contrôle parental, dit-il. Les gens n’auront peut-être pas toutes les fonctionnalités qu’ils aiment, mais ils n’introduiront pas un ennemi dans leur ordinateur. »
L’étude se termine sur des recommandations aux entreprises. Parmi elles : remédier aux vulnérabilités, adopter de meilleures pratiques, limiter la collecte, le stockage et la transmission des données ainsi que l’utilisation de traceurs, mettre en place des canaux sécurisés par lesquels seront transmis les renseignements personnels, faire en sorte que toute activité suspecte soit signalée à l’utilisateur. M. Mannan, pour sa part, suggère également de sensibiliser les enfants aux risques de la technologie. « Les parents doivent les en informer le plus vite possible, comme ils le font avec d’autres dangers, dit-il. Car cette nouvelle réalité fait partie de la vie désormais. »
L’étude
L’étude intitulée Privacy Report Card for Parental Control Solutions (Institut Concordia pour l’ingénierie des systèmes d’information, 2020) présente un cadre expérimental à partir duquel sont évalués systématiquement les problèmes de confidentialité et de sécurité des outils de contrôle parental les plus populaires offerts sur plusieurs plateformes, y compris les périphériques en réseau, les applications Windows et les applications Android. Il s’agirait de l’étude la plus complète réalisée sur ce sujet jusqu’à maintenant. Elle révèle une multitude de vulnérabilités en matière de sécurité et de confidentialité et fournit des recommandations aux développeurs d’outils de contrôle parental.