L’an passé, l’UFC-Que choisir avait dénoncé les dangers des jouets connectés, en particulier le faible niveau de sécurisation de la poupée Cayla ou du robot i-Que. Un an plus tard, la CNIL vient d’adresser une mise en demeure à leur fabricant chinois, Genesis Industries Limited.
Des fabricants ont « fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter », s’agaçait alors l’association.
La poupée connectée Cayla ou le robot i-Que en main, elle affirmait à quelques jours de Noel qu’ « un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti ». L’UFC-Que Choisir avait saisi la CNIL et la DGCCRF, l’une pour éprouver la gestion des données personnelles, l’autre, le niveau de sécurité des jouets.
Bien lui en a pris. Un an plus tard, la CNIL vient d’adresser une mise en demeure publique (pdf) à l’encontre de Genesis, le fabricant installé à Hong-Kong. Ces deux jouets sont « destinés à entretenir une conversation avec les enfants d’au moins cinq ans et à répondre à des questions diverses telles que notamment des calculs mathématiques ou encore la météo » résume l’autorité.
Un système de reconnaissance vocale permet en effet de convertir les paroles en textes afin d’effectuer des recherches sur Google, Wikipedia ou Weather Underground. Associés avec application Android ou iOS, ils sont équipés de micro et d’un haut-parleur.
Bluetooth sans mot de passe, un jouet kit mains libres à 20 mètres
Néanmoins, la CNIL a remarqué à son tour quelques lourds problèmes : l’appairage se fait par Bluetooth, mais sans le moindre mot de passe. Il est du coup possible de communiquer avec l’enfant par l’intermédiaire d’un jouet transformé alors en kit mains libres. Il est tout autant possible d’entendre et enregistrer depuis ses entrées audio grâce à une simple application « dictaphone » après un couplage avec le smartphone.
Selon sa doctrine, la voix d’une personne tout comme les IP sont des données personnelles, sachant que les propos prononcés peuvent véhiculer d’autres données comme des noms, prénom, adresse, etc.
Lors d’un test, la CNIL a par exemple constaté qu’un de ses contrôleurs, à 9m de distance, a pu entendre les conversations se déroulant à proximité du jouet et de communiquer avec un autre contrôleur se situant la même pièce.
Après un premier appairage, un utilisateur situé cette fois à 20 m du jouet a pu poursuivre ces échanges à l’extérieur du bâtiment où se trouvaient les objets. Bref, un pont d’or pour espionner à distance ces bouts de vie privée afin d’entendre, enregistrer les propos voire communiquer avec les personnes situées dans l’entourage des jouets en cause.
« Le défaut de sécurisation par la société du dispositif de communication Bluetooth porte atteinte à la vie privée des personnes dès lors que tout tiers non autorisé peut avoir accès à des informations relevant de l’intimité de la vie privée des personnes ainsi qu’à leurs comportements alors qu’elles font usage de ces jouets dans un cercle familial ou amical » déplore la CNIL.
Elle ajoute que l’atteinte à la vie privée est d’une « particulière gravité » puisqu’elle vise un public vulnérable.
Une pluie de défauts d'information
Outre ce manquement à la vie privée et aux libertés individuelles, elle a constaté un défaut d’information sur les traitements de données personnelles. Lors de l’installation, les jouets glanent en effet nombreuses informations via un formulaire (nom et prénom des enfants et parents, nom de son école, lieu d’habitation, outre ses émissions, sports, contes, etc. préférés).
Mais ce flot, gorgé de données personnelles, est traité par un prestataire installé aux États-Unis, sans que la moindre information ne soit fournie sur la destination et le contenu de ces transferts. On ne connaît pas davantage la finalité de cet envoi, ni les catégories de destinataires ni même le niveau de sécurité.
Ce n’est pas tout : les conversations entre utilisateurs et les jouets se font via le protocole non chiffré HTTP, ce qui entraine un autre manquement, cette fois à l’obligation d’assurer la sécurité et la confidentialité des données. Bref, on ne peut pas faire pire en la matière !
La CNIL, qui profite de la fenêtre pour sensibiliser les parents notamment sur Twitter, a mis en demeure la société Genesis de sécuriser ses jouets i-Que et My Friend Cayla dans un délai de deux mois. Elle devra patcher les fonctions Bluetooth et opter pour un protocole plus solide que le HTTP. Elle lui demande également d’informer toutes les personnes concernées, notamment sur ses formulaires et ses CGU.
En février 2017, la CNIL allemande – la Bundesnetzagentur – s'en était déjà pris à la poupée connectée Cayla pour des raisons similaires. Le fabricant risque en France une sanction de 3 millions d’euros s’il ne se conforme pas à cette délibération. Celle-ci n’a par contre pas la compétence d’ordonner le retrait du produit, décision qui relève davantage des cordes de la DGCCRF.
