Le scandale de la poupée Cayla, qui peut être facilement piratée, a mis en lumière les multiples menaces que pouvaient représenter les jouets connectés, que ce soit pour espionner l’intérieur des foyers, interagir directement avec les enfants ou voler des données personnelles. Retour sur un sujet qui fait froid dans le dos.
Des jouets interactifs qui font rêver les petits et inquiètent les grands
Avec leur popularité grandissante auprès du jeune public, ce risque de piratage ou d’intrusion dans la vie privée n’est plus un fait isolé mais une réalité déjà rentrée dans de nombreux foyers. Une éventualité qui peut vite devenir effrayante pour des parents suffisamment informés.
Les autorités commencent à peine à légiférer alors que cela fait déjà plusieurs années que des scandales relatifs aux jouets connectés ont explosé. Leur manque de sécurité fait partie d’une problématique plus large, celle de la protection de l’IoT (Internet des Objets). Pour se couvrir d’une mauvaise publicité qui pourrait entacher la réputation des fabricants de jouets, des produits plus sécurisés font leur apparition. Parallèlement, il est possible de limiter les risques en suivant certaines bonnes pratiques.
Cayla, la poupée de son
En décembre 2016, la CNIL reçoit une alerte concernant la poupée Cayla et le robot I-Que, conçus par la société basée à Hong Kong Genesis Industries Limited. Grâce à un micro et un haut-parleur, ces jouets donnent l’impression de pouvoir réellement échanger avec leur propriétaire. En réalité, ils cherchent les réponses aux questions des enfants sur Internet, en se connectant à un smartphone ou une tablette via Bluetooth.
Le seul problème, c’est que cette connexion n’est absolument pas sécurisée et que donc n’importe qui doté de l’application peut y accéder sans s’identifier dans un rayon de 20 mètres. Cette porte d’entrée dépourvue de verrou est une aubaine pour tout cybercriminel souhaitant obtenir des données à caractère personnelle. Genesis Industries collecte en effet un grand nombre de données qu’elle transfère aux Etats-Unis sans avoir pris la peine d’en informer les utilisateurs. Ces informations stockées sur des serveurs sont facilement accessibles, même pour un pirate débutant.
Encore plus inquiétant, ces inoffensifs joujoux deviennent un moyen d’espionnage pointu et se transforment en table d’écoute trahissant ce qui se dit et se passe autour de la poupée ou du robot. Il est également possible de leur faire dire n’importe quoi et d’abuser de la crédulité des enfants, une situation franchement anxiogène pour les parents. En Allemagne, ces jouets ont été interdits mais en France, la CNIL n’en a pas le pouvoir et la législation tarde à évoluer. Ce n’est pourtant pas la première fois qu’un objet connecté destiné aux enfants représente une menace.
Des jouets moins inoffensifs qu’il n’y paraît
Les jouets sont une cible facile pour les pirates car ils ne sont pas encore assez protégés et encadrés. L’association de consommateurs allemande Which? a récemment réalisé une étude prouvant que, outre Cayla et I-Que, bien d’autres jouets étaient vulnérables. C’est par exemple le cas du Furby Connect de Hasbro, du Toy-Fi Teddy ou encore des peluches CloudPets. Ce phénomène n’est pourtant pas récent et a déjà défrayé plusieurs fois la chronique :
- Même s’il ne s’agit pas vraiment d’un jouet, rappelons que, dès 2013 aux Etats-Unis, des parents s’étaient réveillés en pleine nuit en entendant la voix d’un homme dans leur babyphone. Ils avaient découvert que celui-ci avait été piraté par une personne malveillante, qui tentait de réveiller l’enfant en criant et pouvait aussi manipuler la caméra. Quand le père s’est rendu dans la chambre et a pris l’appareil, il s’est d’ailleurs fait copieusement insulter.
- En 2015, le constructeur de jouets V-tech a également été piraté et ce sont les données personnelles stockées dans des serveurs chinois de quelques 5 millions de foyers qui ont été volées, notamment les informations et photos de près de 200 000 enfants via une application permettant aux parents de communiquer avec leur progéniture sur les appareils de la marque. L’entreprise a été poursuivie en justice mais le jugement s’est soldé par un non-lieu.
- Même des géants comme Mattel doivent parfois faire machine arrière sur un sujet aussi sensible. Si la poupée Hello Barbie, qui est capable de converser avec sa propriétaire mais aussi d’enregistrer les informations qui lui sont confiées, a bien vu le jour, le sort d’Aristole est tout autre. Cet assistant virtuel spécialement conçu pour accompagner le bébé jusqu’à la grande enfance n’a finalement pas été commercialisé. La faute aux risques inconnus sur le développement de l’enfant mais aussi à la confidentialité des données collectées auprès des enfants par Mattel.
- Tout récemment, l’Allemagne a décidé d’interdire toutes les montres intelligentes pour les enfants. L’autorité en charge des réseaux, le Bundesnetzagentur, estime que la menace est trop grande en cas de piratage car ces montres peuvent être contrôlées à distance, possèdent une fonction d’écoute et sont capables de recevoir des messages.
Se protéger pour mieux s’amuser
En attendant une législation plus ferme, que le RGPD devrait favoriser, la CNIL vient de publier une infographie pour vulgariser le problème. Elle préconise en même temps quelques règles de bonne conduite pour minimiser les risques, comme de mettre à jour le jouet interactif, de l’éteindre lorsqu’il n’est pas utilisé ou d’effacer régulièrement les données.
Certains, à l’instar du très actif expert informatique Troy Hunt, proposent de s’inspirer de ce qui se fait en matière de prévention du tabac et de faire figurer des avertissements sur les boîtes d’emballage stipulant les menaces potentielles des objets connectés. Ce n’est certes pas une révolution mais cela s’avère être un moyen efficace de faire prendre conscience du danger au grand public.
Il est grand temps de traiter en profondeur le sujet afin d’éviter toute dérive, criminelle ou parentale. En Chine, qui fait souvent office de précurseur au niveau des comportements connectés, la grande tendance est aux applications de surveillance des enfants par leurs parents via des bracelets interactifs. D’ici à ce que des fonctionnalités d’espionnage soient dissimulées dans des jouets à l’insu des utilisateurs, il n’y a qu’un pas.