Pouvez-vous avoir confiance dans les jouets connectés?

ESPIONNAGE La Cnil a mis en demeure un fabricant chinois de jouets connectés pour atteinte grave à la vie privée...

Laure Beaudonnet

— 

Cayla, le jouet connecté pointé du doigt par la Cnil pour ses failles de sécurité.

Cayla, le jouet connecté pointé du doigt par la Cnil pour ses failles de sécurité. — MEIGNEUX/SIPA

  • La Cnil a mis en demeure un fabricant chinois de jouets connectés pour atteinte grave à la vie privée.
  • Un tiers peut facilement entendre et enregistrer les paroles échangées entre l'enfant et le jouet, mais aussi espionner tout ce qui se passe autour.
  • Un tiers peut prendre contrôle de Cayla et I-Que à distance, interagir avec votre enfant sans que vous en soyez notifié.
  • Un problème lié aux données personnelles a également été souligné.

Et si, pour Noël, vous achetiez à votre enfant un petit espion qui écouterait à vos portes, enregistrerait vos discussions et les transmettrait à n’importe qui ? Dit comme ça, l’idée paraît impensable et pourtant, deux jouets connectés Mon amie Cayla et le robot I-Que ont plus de points communs avec un mouchard qu’avec un innocent ours en peluche bouloché. La Cnil a mis en demeure lundi le fabricant chinois, Genesis Industries Ltd, basé à Hong Kong, pour atteinte grave à la vie privée en raison d’un défaut de sécurité.

>> A lire aussi : Des criminels en puissance peuvent se cacher dans votre maison

Un individu peut parler à votre enfant à travers la porte

Que reproche-t-on à la poupée Cayla et au robot I-Que exactement ? Beaucoup trop de choses… Equipés d’un micro et d’un haut-parleur, ils répondent à des questions simples des enfants. Ils se connectent par Bluetooth à une appli mobile que tout le monde peut télécharger, mais -premier problème-, on n’a pas besoin d’un code pour prendre le contrôle de ces jouets. Et n’importe qui, dans un périmètre de 20 mètres, peut se connecter.

« Un tiers situé à 20 mètres du jouet peut (…) entendre ce que dit votre enfant, sans même que vous en soyez averti », indiquait en décembre 2016 UFC-Que Choisir qui avait donné l’alerte. « Car il n’y a pas de notification aux parents quand une tierce personne se connecte », explique Justine Massera, juriste TIC chez UFC-Que Choisir. Un individu peut ainsi parler à votre enfant à travers une porte, écouter ce qui est dit dans la pièce à distance et tout cela en se connectant très simplement au jouet. Facile de demander à votre petit d’ouvrir la porte d’entrée ou le code de la carte bleue. A ce stade, on ne parle plus de faille, mais de gouffre.

>> A lire aussi : Comment une armée d'objets connectés infectés a cassé Internet

Et ce n’est pas tout. La Cnil souligne un autre gros problème lié aux données personnelles. Cayla et I-Que n’utilisent pas de canal chiffré pour garantir la sécurité et la confidentialité des données personnelles. « Les conditions générales ne sont pas claires, les données peuvent être transférées dans un pays hors de l’Union européenne, partagées et utilisées à des fins commerciales pour des publicités ciblées », poursuit Justine Massera. Le consentement est donné par le simple fait d’acheter, or les parents ne sont pas suffisamment informés. Si la Cnil n’a pas le pouvoir d’interdire ces jouets, sa présidente Isabelle Falque-Pierrotin a sommé la société chinoise de se mettre en conformité, faute de quoi une procédure de sanction sera engagée.

Le risque des ransomware

Faut-il pour autant se méfier de tous les jouets connectés ? Hello Barbie, qui n’est pas encore commercialisée en France, rejoint le club des espions, souligne UFC-Que Choisir, mais « il ne faut pas généraliser à tous les jouets », modère Justine Massera. Cela dit, la sécurité de l’Internet des objets (IoT) ne doit pas être prise à la légère. « Comme ces jouets, connectés à Internet, partagent probablement le même réseau Wi-Fi que votre ordinateur portable, ou votre smartphone, les pirates peuvent non seulement vous espionner, mais aussi installer des ransomware ou compromettre votre réseau domestique », souligne Liviu Arsene, analyste spécialisé dans les questions de sécurité pour Bitdefender, qui rappelle que de nombreux jouets ont été piratés dans le passé. « Souvenez-vous de l’incident aux Etats-Unis où une mère a retrouvé son visiophone pour bébé piraté qui insultait son enfant », reprend-il.

Même si tous les jouets connectés ne présentent pas les mêmes risques que Cayla ou i-Que, il est important de vérifier qu’il y a un code et de les personnaliser comme on a l’habitude de le faire avec nos téléphones, en changeant les mots de passe par défaut, en évitant de les connecter à notre réseau principal et en acquérant des antivirus spécialisés dans l’Iot. Des gestes simples, mais indispensables à votre sécurité.