Les jouets connectés pour enfants sont-ils sécurisés ?

March 2, 2017

Auteure: Charlotte Evrard, étudiante au cours DRT-6929E-A

Quoi de plus naturel qu’une enfance entourée de jouets ? C’est une réalité, ceux-ci nous ont accompagnés durant les premières années de notre vie et ils continuent encore, à l’heure actuelle, à embellir le quotidien de beaucoup de petits bambins. Par conséquent, il s’agit d’un marché important qui ne cesse de croître. Les marchands de jouets doivent donc de plus en plus innover afin de se diversifier et de se démarquer des autres fabricants et proposer des produits plus attrayants. L’innovation technologique étant de plus en plus poussée à son comble, ce domaine n’y échappe pas. C’est de cette manière qu’apparaissent de plus en plus de jouets connectés, comme les tablettes ou les poupées électroniques. Ceux-ci font rêver les enfants mais ne sont pas sans risque du point de vue de la vie privée. En effet, le fait que ces jouets soient connectés à internet permet de collecter des renseignements sur ces enfants. Qui plus est, ces derniers sont des cibles faciles car ils sont vulnérables, ils ne se rendent pas compte des enjeux quand ils jouent avec ce genre d’objets.

Lorsqu’un piratage informatique a lieu, le respect de la vie privée ou les renseignements personnels sont menacés. La société VTech (grande société d’ordinateurs pour enfants) en a fait les frais lorsqu’un pirate a corrompu la sécurité des serveurs de cette entreprise en novembre dernier. Plusieurs millions de données relatives aux parents et aux enfants ont été volées. Parmi celles-ci certaines sont sensibles comme les nom et prénom, adresses, photos, e-mails, etc. Egalement, certains jouets sont personnalisables. Pour ce faire, des informations sur les enfants sont communiquées. Il y a donc un vrai danger de compromission de la vie privée et des renseignements personnels en cas de piratage informatique. Les hackeurs en sont conscients et se concentrent de plus en plus sur les jouets connectés comme cible d’attaque.

La poupée Hello Barbie a fait parler d’elle pour cette raison. Elle est dotée d’un système de reconnaissance vocale. Elle est capable d’écouter l’enfant parler et de lui répondre (grâce à une connexion Wifi), créant ainsi une conversation. Cela a créé une inquiétude dans le chef d’un chercheur de la société BlueBox qui a divulgué une étude démontrant que cette Barbie était vulnérable au piratage informatique. Celui-ci permettrait à un hackeur d’écouter les conversations réalisées entre l’enfant et sa Barbie parlante. Heureusement le hackage n’a pas eu lieu mais les failles existantes suscitent des inquiétudes et des controverses.

L’exemple qui fait l’objet de ce blogue et qui est le plus récent concerne une poupée connectée qui a été qualifiée de dispositif d’espionnage en Allemagne. Cette affaire a été très loin car, le 17 février, l’Agence de régulation allemande des réseaux (la Bundesnetzagentur) a finalement demandé aux parents de détruire cette poupée que leur(s) enfant(s) possédai(en)t et a interdit de la vente ce jouet jugé trop intrusif, dangereux et espion de la vie privée. Pour mieux comprendre les raisons de ce choix il faut connaitre les spécificités de cette poupée prénommée Cayla. Il s’agit d’une poupée en plastique qui est équipée d’un micro placé à l’intérieur de son corps. Comme pour la poupée Hello Barbie, une conversation est possible entre l’enfant et sa poupée. Pour ce faire, Cayla est reliée à une tablette ou à un téléphone par Bluetooth. Lorsque l’enfant pose ses questions à son jouet, ces dernières sont analysées par le logiciel de reconnaissance vocale qui lui répond grâce à la connexion Bluetooth. Les conversations peuvent aller très loin. En effet, Cayla est capable de donner des détails sur sa vie fictive avec sa famille et ses amis, de parler de voyages, de sport, etc. Certains se préoccupent de la sécurité d’un tel jouet compte tenu qu’aucun mot de passe n’était requis pour protéger la connexion. Plus inquiétant encore, une personne située à moins de 15 mètres de l’objet était capable d’entendre les conversations. Et pire encore… cette personne pouvait même parler directement avec l’enfant ! De quoi se poser des questions au niveau de la sécurité informatique et du respect de la vie privée.

Le distributeur de ce jouet a affirmé que cette poupée ne possédait pas de logiciel espion. Les défenseurs de la vie privée ainsi que les consommateurs restent toutefois sceptiques. Une plainte a finalement été déposée fin de l’année 2016 par plusieurs associations. Celles-ci estimaient que cette poupée contenait une réelle menace pour la vie privée du fait qu’elle pouvait enregistrer toutes les conversations se déroulant autour d’elle, mais aussi parce que les fichiers audio étaient transmis à un serveur à distance, et ce, sans même avoir obtenu le consentement des parents. Ensuite, d’autres associations de défense des consommateurs ont, eux aussi, décidé de poursuivre le fabricant de cette poupée aux Pays-Bas, en Belgique, en Irlande, en Norvège et en France. La Consumer Protection Cooperation Network est une association rassemblant les régulateurs européens. Suite à toute cette polémique, elle a décidé de réunir, dans le courant du mois de mars, les autorités de défense des consommateurs et les autorités de protection des données personnelles de plusieurs pays européens. Cette réunion aura pour but de discuter de manière approfondie de toutes les questions que posent les applications et les risques des jouets connectés.

Nous pouvons retenir que la raison principale du piratage informatique dans ce domaine est que les jouets connectés sont des cibles faciles car les entreprises ne sont souvent pas préparées à faire face à de telles attaques. En effet, celles-ci fabriquent des jouets reliés à internet sans être pour autant disposées à gérer la sécurité informatique qui se cache derrière et qui est pourtant indispensable. Internet ne faisant pas partie de leur core business, ces entreprises ne se dotent pas d’informaticiens spécialisés capables de gérer tout ce domaine et de prendre les mesures adéquates.

Updated March 3, 2017 at 10 h 40 min.