Baby Big Brother is watching you (2/3)

"Mon amie Cayla", la poupée qui suciste l'inquiétude. Crédit - Genesis Toys
« Mon amie Cayla », la poupée qui suciste l’inquiétude. Crédit – Genesis Toys

À l’approche de Noël, les jouets connectés devraient se faire une belle place sous le sapin. Mais ils pourraient porter atteinte à la vie privée, en collectant des données personnelles sur les enfants et leur entourage.

Des jouets connectés qui espionnent les enfants et leurs parents. En pleine course aux cadeaux de Noël, la Commission nationale de l’informatique et des libertés (Cnil) a épinglé, début décembre, deux jouets connectés disponibles en France. La poupée « Mon amie Cayla » et le robot « I-Que » comportent plusieurs failles de sécurité.

Galerie : Ces 6 jouets connectés qui peuvent espionner les enfants

Par Bluetooth, un pirate peut prendre contrôle du jouet à plus de 9 mètres de distance lors de la première connexion, puis 20 mètres lors de la seconde. Ensuite, il peut activer le haut-parleur et parler directement à l’enfant par la voix du jouet, où recevoir les paroles de l’enfant captées par le jouet. Le pirate peut également passer par le réseau Wifi du foyer pour écouter les discussions ou modifier les réponses du jouet.

30 à 40 dollars pour le profil d’un enfant

Les cas de piratage ne datent pas d’hier. En 2015, le fabricant de tablette pour enfants VTech est victime d’un piratage de sa base de données : 6,4 millions de comptes d’enfants, avec photos, adresses et dates de naissances ont été compromis, dont 800 000 en France. La même année, la poupée connectée « Hello Barbie » équipée d’un microphone et d’un haut-parleur, fait polémique. Les données passent par un Cloud afin d’être analysées via l’intelligence artificielle et apporter à l’enfant une réponse rapide.

Certaines associations craignent que Mattel, le fabricant, utilise des informations livrées par les enfants à des fins commerciales. Des données qui se monnaient très chères sur le “Dark Web”. D’après GData Software, sur le marché noir, un jeu de données complet d’un enfant (nom, date de naissance, adresse e-mail et numéro de sécurité sociale d’un enfant) s’échange pour 30 à 40 dollars. Pour les adultes, ce montant s’élèverait à 20 dollars. Au début du mois de décembre, la Cnil a lancé une campagne de prévention sur Twitter. Un « thread de Noël », pour sensibiliser les parents sur la sécurité de ces jouets qui connaissent chaque année, de plus en plus de succès.

Julien Percheron