Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que

Quand le robot se mord l'I-Que
Droit 4 min
Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que

L’an passé, l’UFC-Que choisir avait dénoncé les dangers des jouets connectés, en particulier le faible niveau de sécurisation de la poupée Cayla ou du robot i-Que. Un an plus tard, la CNIL vient d’adresser une mise en demeure à leur fabricant chinois, Genesis Industries Limited.

Des fabricants ont « fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter », s’agaçait alors l’association.

La poupée connectée Cayla ou le robot i-Que en main, elle affirmait à quelques jours de Noel qu’ « un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti ». L’UFC-Que Choisir avait saisi la CNIL et la DGCCRF, l’une pour éprouver la gestion des données personnelles, l’autre, le niveau de sécurité des jouets.

Bien lui en a pris. Un an plus tard, la CNIL vient d’adresser une mise en demeure publique (pdf) à l’encontre de Genesis, le fabricant installé à Hong-Kong. Ces deux jouets sont « destinés à entretenir une conversation avec les enfants d’au moins cinq ans et à répondre à des questions diverses telles que notamment des calculs mathématiques ou encore la météo » résume l’autorité.

Un système de reconnaissance vocale permet en effet de convertir les paroles en textes afin d’effectuer des recherches sur Google, Wikipedia ou Weather Underground. Associés avec application Android ou iOS, ils sont équipés de micro et d’un haut-parleur.

Bluetooth sans mot de passe, un jouet kit mains libres à 20 mètres

Néanmoins, la CNIL a remarqué à son tour quelques lourds problèmes : l’appairage se fait par Bluetooth, mais sans le moindre mot de passe. Il est du coup possible de communiquer avec l’enfant par l’intermédiaire d’un jouet transformé alors en kit mains libres. Il est tout autant possible d’entendre et enregistrer depuis ses entrées audio grâce à une simple application « dictaphone » après un couplage avec le smartphone.  

Selon sa doctrine, la voix d’une personne tout comme les IP sont des données personnelles, sachant que les propos prononcés peuvent véhiculer d’autres données comme des noms, prénom, adresse, etc.   

Lors d’un test, la CNIL a par exemple constaté qu’un de ses contrôleurs, à 9m de distance, a pu entendre les conversations se déroulant à proximité du jouet et de communiquer avec un autre contrôleur se situant la même pièce.

Après un premier appairage, un utilisateur situé cette fois à 20 m du jouet a pu poursuivre ces échanges à l’extérieur du bâtiment où se trouvaient les objets. Bref, un pont d’or pour espionner à distance ces bouts de vie privée afin d’entendre, enregistrer les propos voire communiquer avec les personnes situées dans l’entourage des jouets en cause.

« Le défaut de sécurisation par la société du dispositif de communication Bluetooth porte atteinte à la vie privée des personnes dès lors que tout tiers non autorisé peut avoir accès à des informations relevant de l’intimité de la vie privée des personnes ainsi qu’à leurs comportements alors qu’elles font usage de ces jouets dans un cercle familial ou amical » déplore la CNIL.

Elle ajoute que l’atteinte à la vie privée est d’une « particulière gravité » puisqu’elle vise un public vulnérable.  

Une pluie de défauts d'information 

Outre ce manquement à la vie privée et aux libertés individuelles, elle a constaté un défaut d’information sur les traitements de données personnelles. Lors de l’installation, les jouets glanent en effet nombreuses informations via un formulaire (nom et prénom des enfants et parents, nom de son école, lieu d’habitation, outre ses émissions, sports, contes, etc. préférés).

Mais ce flot, gorgé de données personnelles, est traité par un prestataire installé aux États-Unis, sans que la moindre information ne soit fournie sur la destination et le contenu de ces transferts. On ne connaît pas davantage la finalité de cet envoi, ni les catégories de destinataires ni même le niveau de sécurité.

Ce n’est pas tout : les conversations entre utilisateurs et les jouets se font via le protocole non chiffré HTTP, ce qui entraine un autre manquement, cette fois à l’obligation d’assurer la sécurité et la confidentialité des données. Bref, on ne peut pas faire pire en la matière !

La CNIL, qui profite de la fenêtre pour sensibiliser les parents notamment sur Twitter, a mis en demeure la société Genesis de sécuriser ses jouets i-Que et My Friend Cayla dans un délai de deux mois. Elle devra patcher les fonctions Bluetooth et opter pour un protocole plus solide que le HTTP. Elle lui demande également d’informer toutes les personnes concernées, notamment sur ses formulaires et ses CGU.

En février 2017, la CNIL allemande – la Bundesnetzagentur – s'en était déjà pris à la poupée connectée Cayla pour des raisons similaires. Le fabricant risque en France une sanction de 3 millions d’euros s’il ne se conforme pas à cette délibération. Celle-ci n’a par contre pas la compétence d’ordonner le retrait du produit, décision qui relève davantage des cordes de la DGCCRF. 

17 commentaires
Avatar de XMalek INpactien
Avatar de XMalekXMalek- 04/12/17 à 13:26:18

La CNIL devrait pouvoir faire "gratuitement" des annonces sur la dangerosité des jouets sur les grands médias, ca serait très très efficace.

Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 04/12/17 à 13:30:32

Yaurait beaucoup d'annonces à faire :D

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 04/12/17 à 13:35:24

PtiDidi a écrit :

Yaurait beaucoup d'annonces à faire :D

Commençons par la première : Facebook :francais:

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 04/12/17 à 13:38:53

Déjà il faut vouloir acheter ce genre de jouets...  :roll:

Des parents "je n'ai rien à cacher", qui ne s'intéressent pas à ces failles ! Tant que le mioche leur fout la paix :yes:

Avatar de ToMMyBoaY Abonné
Avatar de ToMMyBoaYToMMyBoaY- 04/12/17 à 14:08:31

Une poupée qui ferme sa gueule et non connectée, c'est mieux pour tout le monde. Foi de (jeune) parent.

En plus sur ce créneau, ce sont des marques Françaises et Allemandes qui dominent.

Avatar de levhieu INpactien
Avatar de levhieulevhieu- 04/12/17 à 14:22:54

ToMMyBoaY a écrit :

Une poupée qui ferme sa gueule et non connectée, c'est mieux pour tout le monde. Foi de (jeune) parent.

+1 Foi de jeunerécent grand-parent

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 04/12/17 à 14:55:20

Si ces jouets ne sont pas conformes, il faudrait simplement les interdire.

Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 04/12/17 à 14:59:48

Alors d'un côté je suis OK mais d'un autre côté pour avoir touché du BT couplé avec arduino il est pas possible de changer le mot de passe sans rajouter une soudure et entrer dans un mode spécial. Ceci explique cela ? :)

Avatar de ScicoPat INpactien
Avatar de ScicoPatScicoPat- 04/12/17 à 15:11:53

Vous croyez qu'on vous a pas vu nous appâter avec un sous-titre pareil ? :D

Avatar de novaescorpion Abonné
Avatar de novaescorpionnovaescorpion- 04/12/17 à 23:06:57

Pardon d'avance pour le sous-titre alternatif :

  "I-QUe Ta Mère" ? (Avec l'accent "CAYLA"-Ra des Té-Ci !)

:humour:
:pastaper:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2