Le 4 décembre 2017, la Commission nationale de l’informatique et des libertés met en demeure la firme chinoise Genesis Industries Limited « pour atteinte grave à la vie privée en raison d’un défaut de sécurité. ». Ce sont deux jouets de la société hong-kongaise qui cristallisent les inquiétudes de la CNIL : la poupée « Mon amie Cayla » et le robot I-Que. Des craintes légitimes qui trouvent encore plus de résonance à seulement une petite semaine de Noël…
La poupée « Mon amie Cayla » est un jouet interactif qui, comme la page de son site web l’indique, répond du tac au tac aux questions que lui pose l’enfant. Évidemment, celles-ci demeurent assez basiques comme par exemple « Quelle est ta couleur préférée ? » ou encore « Quel bruit fait le cochon ? » – difficile d’imaginer un petit surdoué demandant à ce bout de plastique inanimé « Quel est le sens de la vie ? »… La poupée enregistre alors automatiquement les questions de l’enfant via son microphone, les expédie ensuite sur un serveur à distance – cette zone nébuleuse et fantastique appelée le cloud – et transmet les réponses à l’enfant grâce à ses haut-parleurs. Sur le papier, la poupée « Mon amie Cayla » a tout du parfait compagnon de jeu. Mais dans les faits, elle représente surtout un incommensurable danger pour la protection de l’enfant.
La cause de tout cet émoi : l’absence de mot de passe permettant de gérer le Bluetooth et de contrôler quel appareil peut – ou ne peut pas – se connecter au jouet. Dans son communiqué de début décembre, la CNIL précise qu’un pirate muni d’un téléphone portable doté de la fonction Bluetooth pourrait, au nez et à la barbe des parents, se connecter au jouet de deux manières différentes. La première, en « diffusant via l’enceinte du jouet des sons ou des propos précédemment enregistrés grâce à la fonction dictaphone ». La seconde, en « utilisant le jouet en tant que « kit main libre ». Il suffit alors d’appeler le téléphone connecté au jouet avec un autre téléphone pour parler avec l’enfant à proximité du jouet. ». Des scénarios catastrophes que n’ont plus à redouter nos voisins allemands : dès février 2017, l’Agence fédérale des réseaux avait retiré de la vente la totalité de ces poupées connectées !
« Mon amie Cayla » n’est pas le premier jouet à s’attirer les foudres des instances juridiques et des associations de consommateurs, et sûrement pas le dernier. Rien qu’en novembre de cette année, le magazine Which ? – l’équivalent britannique de notre UFC-que Choisir – a publié une enquête révélant plusieurs tests menés sur sept jouets connectés : quatre d’entre eux présentaient des failles de sécurité : Furby Connect, I-Que Robot, Toy-Fi Teddy et les CloudPets. Là encore, les fabricants n’ont pas jugé utile d’agrémenter leurs jouets d’un mot de passe destiné à sécuriser le réseau Bluetooth ; ou peut-être est-ce de la simple paresse…
Les risques encourus par nos enfants en matière de vie privée sont plus que jamais pris au sérieux, surtout après les scandales Hello Kitty et V-Tech. En 2015, quelque 3 millions de comptes de fans de Hello Kitty étaient exposés aux hackers, suite à la détection d’une faille dans les serveurs de Sanriotwon.com, une plateforme communautaire dédiée à tous les inconditionnels du chaton aux noeuds roses. En décembre de la même année, c’est VTech qui subissait un piratage massif, avec le hacking d’1,2 millions de comptes d’enfants français. Et ça ne s’arrête pas là : les Cloudpets épinglés par Which ? ont déjà défrayé la chronique au Noël dernier, lorsque des hackers avaient pu accéder aux données personnelles de 821 000 propriétaires de ces peluches connectées. La base de données en question n’étant protégée ni par un mot de passe, ni par un pare-feu, ne demandait qu’à être ouverte…
Les jouets connectés sont en l’état actuel une aberration, une menace qui plane au-dessus de la tête de nos enfants. Ce n’est pas seulement leur vie privée qui se retrouve au coeur du débat, mais bel et bien leur sécurité. Qui accepterait d’acheter une poupée connectée tout en sachant que n’importe quel individu – mal intentionné ou non – pourrait à tout moment en prendre le contrôle et parler directement à son enfant ? Mieux vaut rester sur les classiques intemporels tant que la sécurité de ces jouets ne sera pas au niveau !