L'UFC-Que Choisir met en garde les parents contre les dérives et dangers de certains jouets connectés. En guise d'exemple, nos confrères mettent en lumière les défauts de deux d'entre eux : Mon amie Cayla et i-Que.
Les fêtes de fin d'année approchent à grands pas, Noël étant désormais dans moins de trois semaines. Les enfants et les parents sont donc à l'affut des dernières nouveautés pour passer commande dans les temps afin d'avoir des cadeaux sous le sapin. Comme c'est la mode depuis quelques années, les jouets « connectés » seront certainement nombreux... Ce qui n'est pas sans poser certaines questions sur la sécurité et la confidentialité des données.
Une connexion Bluetooth simple et rapide... mais sans aucune protection
Suite à une étude menée par son homologue norvégien Forbrukerradet, l'UFC-Que Choisir revient sur deux cas emblématiques : la poupée « Mon amie Cayla » et le robot « i-Que ». Il y est question de « lacunes quant à la sécurité et la protection des données personnelles des enfants utilisateurs de la poupée connectée », et pas des moindres.
Le premier point est le Bluetooth qui permet au jouet de se connecter à un smartphone : « les sociétés ont fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé ». De fait, n'importe qui peut s'y connecter et écouter ce qui se dit à proximité. Mais ce n'est pas tout : « un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet ». On imagine assez facilement les dangers que cela représente.
Attention aux conditions d'utilisation
Nos confrères pointent également du doigt de graves problèmes dans les conditions d'utilisation. En effet, elles « autorisent sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service ». De plus, ces informations peuvent être transmises hors de l'Union européenne, « notamment à des fins commerciales, à des tiers non identifiés ».
Parmi les exemples d'utilisation, il est question de publicité ciblée vers les enfants : « L’étude a ainsi révélé que Cayla et i-Que prononcent régulièrement des phrases préprogrammées, faisant la promotion de certains produits - notamment des produits Disney ou des références aux dessins animés de Nickelodeon ».
l'UFC-Que Choisir saisit la CNIL et le DGCCRF
Partant de ce constat, l’association annonce qu'elle saisit la CNIL pour qu'elle diligente une enquête. Il en est de même avec la DGCCRF, pour qu'elle se penche sur le niveau de sécurité des jouets connectés.
Dans tous les cas, cette étude ne se penche que sur un petit nombre de produits, mais elle « reflète un problème général de sécurité et de données personnelles des jouets connectés ». Encore une fois, il convient de rappeler que la prudence doit être de mise avec les jouets connectés, car le problème n'est certainement pas isolé. Une mise en garde que l'on peut finalement étendre à tous les objets connectés.
Commentaires (83)
#1
De fait, n’importe qui peut s’y connecter et écouter ce qui se dit à proximité. Mais ce n’est pas tout : « un tiers peut prendre le contrôle des jouets, et, en plus d’entendre votre enfant, communiquer avec lui à travers la voix du jouet ». On imagine assez facilement les dangers que cela représente.
Ok, pas hyper secure, mais d’un autre coté le bluetooth a une portée limitée.
Parmi les exemples d’utilisation, il est question de publicité ciblée vers les enfants : « L’étude a ainsi révélé que Cayla et i-Que prononcent régulièrement des phrases préprogrammées, faisant la promotion de certains produits - notamment des produits Disney ou des références aux dessins animés de Nickelodeon ».
Là ca va loin
Remarque c’est comme les vhs/dvd/blueray : plein de pub, parfois obligatoire, avant enfin d’atteindre le film ou le dessin animé… et après ca râle contre le piratage.
#2
un peu comme le super Téléphone portable Jouet ( uniquement par Wifi ) et d’autres objets “ connectés ” vendu par la célèbre marque de jouet … V-Tech dont la DB avec beaucoup d’infos perso adresse photos de 6 millions de français ( gamins et parents ) et bien plus dans le mode
https://www.vtech-jouets.com/digigo-bleu.html
#3
Le simple fait de mettre un bouton d’association sur lequel on doit appuyer pour lancer le truc et valider…
Un peu HS : j’ai cherché une ptite caméra pour mon neveu. Ben celles “adaptées” sont plus chères, l’image est pourrie et absolument pas sécurisée (boîtier simple à ouvrir, carte SD ultra accessible, câbles etc..).
Donc j’ai pris une vraie caméra pour guère plus cher et mon frère s’en occupera avec lui, mais jamais il ne s’en servira tout seul.
Moralité : prenez les jouets et les objets que vous pouvez utiliser avec gamins, et pas des trucs avec lesquels ils seront seuls. En plus vous jouez avec vos enfants (dingue !).
#4
Les parents s’en cognent de la protection bluetooth et co, ils veulent mettre un jouet dans les mains de leurs marmots pour avoir la paix (pour regarder la TV, faut pas déconner quand même).
Combien de fois j’ai vu des gamins de 5-8 ans jouer à GTA et co parce qu’au moins, ça dérangeait pas les parents …
#5
Y a des messages subliminaux dans les jouets pour enfants ? Vote PS, vote PS…
" />
#6
Généralité toussa, tout le monde dans le même panier
" />
" />
Et sinon, comment çà se fait que tu vois plein de gamins de 5-8 ans dans leurs chambres ou salons ?
#7
#8
#9
#10
Bon moyen de rendre un enfant schizophrène.
“Mais c’est ma poupée qui m’a dit de le faire !”
#11
Watch Dogs mon grand.
" /> 
" />
D’ailleurs, je vois que t’es torse-nu sur ton canapé, que t’as beaucoup de cheveux et une moustache.
#12
Elle a un petit air de Marine le Pen en plus cette poupée
" />
#13
Malheureusement j’en suis arrivé au même constat…
#14
#15
certes 
" />
#16
L’IoT est une abomination. Ces exemples la ne vont qu’aller crescendo, on a déjà pleins d’exemples de produits plus troués qu’un gruyère suisse, avec ce que ça implique derrière niveau sécurité et protection des données.
Cette mode de tout connecter à Internet est un véritable cancer.
#17
#18
#19
Combien de fois, tu vas chez des amis et comme ils savent que tu bosses dans l’informatique, tu as le “Heyyyy tu aurais pas 5 mins pour regarder un soucis sur le PC ?” et là … c’est le drame ! Configuration toute pourrie, aucune protection, historique du navigateur avec visite de site quelque peu “olé, olé” (pas spécialement porno, mais des trucs chelou quoi). C’est bourré d’adware, de barre d’outils à la con dans le navigateur et j’en passe. Et les 5 minutes se transforment en une bonne heure de nettoyage et de configuration. Les escrocs et “mauvais” pirates ont de beaux jours devant eux ! C’est clair que le péquin moyen, il va pas se douter de tout ça quand il achète un jouet pour ses gosses.
#20
J’avoue que ça fait un peu peur cette mode des objets connectés. Maintenant tout et n’importe quoi devant être connecté (la palme de l’inutilité revenant à la brosse à dent connectée…), avec évidemment strictement aucune sécurité. Les botnets ont de beaux jours devant eux.
#21
#22
Ben tient… Cayla c’est un des cadeaux que je vais offrir donc j’ai testé.
Alors, même si sur la boîte ça indique 10 mètres de porté pour le Bluetooth, en réalité on est plus sur du 5 mètres max pour de l’optimal dans une maison classique (interférences, murs…). Ensuite, pour se connecter, il faut l’application et seul un appairage n’est possible en simultané. Enfin, la poupée a une LED rouge qui indique l’activité d’écoute. Pour les fameux messages, rien de choquant, elle donne les titres des films et prend beaucoup de renseignement sur Wikipédia donc, forcement, cite des marques. Après oui, il y a quelques messages çi et là mais c’est par un encart pub non plus et c’est toujours lié à la conversation (du style, j’ai été voir le dernier Disney, truc bidule, le week-end dernier. En gros la même chose qu’entre gamines dans la cour d’école).
Au final, il faudrait véritablement ne pas avoir de chances ou un as de l’informatique à moins de 10 mètres, ce qui va de pair, pour qu’il y est un véritable risque.
#23
« un tiers peut prendre le contrôle des jouets, et, en plus
d’entendre votre enfant, communiquer avec lui à travers la voix du jouet »
Manque plus que la webcam
#24
La prochaine cible de Mirai ?
#25
Et tu penses vraiment que l’appli est bien sécurisé ?
#26
+1, et pour la diode, il suffit juste d’en modifier le micro-logiciel.
#27
Je pense que c’est de la provoq’
" />
En tous cas je ne vois pas d’autre explication.
#28
Apres la poupée qui te fait de la pub, je demande la poupée chucky connecté. Si jamais t’es un terroriste, la poupée de ta fille t’égorge durant la nuit (controlé par le FBI / NSA uniquement, garantie sans backdoor)
#29
#30
Les jouets en bois du Jura, y’a que ça de vrai.
#31
Ya quand même une différence entre la discussion de cour d’école et la poupée qui monte un dossier sur toi pour te redescendre des pubs ciblées…
Perso j’ai pas vraiment de problème avec la pub, tant que je sache qu’elle est là, et qu’elle permet en contrepartie de m’offrir un service gratuit, mais la pub en loucédé sur un produit que j’ai payé, ça me sort par les trous de nez.
#32
Mieux que la brosse a dent le tampon connecté 
" />
#33
D’ailleurs le Gruyère Suisse est une redondance. Le Gruyère est forcément Suisse. Et je vous conseille d’y aller faire un tour. C’est super joli et on y mange bien!
#34
Sinon, on peut continuer les Legos, c’est sécurisé en réseau comme jouet.
" />
" />
" />
" />
" />
#35
#36
#37
#38
#39
Totalement prévisible… et scandaleux. Le autorités de régulation vont elles enfin se réveiller ?
#40
Le gruyère Français est très bon et a du gout, même s’il est appelé abusivement gruyère…. les suisses vont nous dire que la France ne sait pas faire du fromage….. manquait plus que cela….
#41
Les parents que tu connais sont malheureusement laxiste,ils le sont pour leurs enfants et surement pour eux,l’un ne va pas sans l autre…
Cela fonctionne aussi pour les jeux videos,pour ma part je suis gamer depuis pong et l’atari2600,je connais bien le sujet,il suffit juste de prendre un moment à chaque fois que l’on install un jeu ou que l’on prête une tablette pour voir à quoi ils sont exposés…pas besoin de PEGIxx et autres…tout tourne autour de “bon sens”… et si le jeu requière une “connection” bas tant pis,on coupe le wifi,sinon c’est que le môme est trop petit et on déinstall (c’est pas le nombre de jeux qui manques).Quand je vois tout les petits dans les salles d’attente entre autres entrain de joué avec l’iphone 12 de maman…
En ce qui concerne les trucs connectés,idem, se renseigner un peu ne prend que 5mn,avec tous les sites dédiés,ce n est pas pardonnable.
Tout le monde sais que les joués de ce type on une protection approximative,une de mes filles avait eu un Furby+appli sur tablette,c etait une passoire le machin,heureusement,elle pouvait l’utiliser sans être obligé d’utilisé le réseau.
#42
sauf que le gruyere français, c’est de l’emmental.
rien ne vaut un bon Comté ou une Tome de Savoie.
#43
Parle pour toi, gros beauf.
#44
#45
Le nombre de fois où j’ai retiré des enregistreurs de frappes… Tout ça pcke X ou Y a ajouté un plugin pour télécharger sur youtube… Au lieu d’utiliser un site convertisseur…
#46
Cool, une future développeuse :p
#47
Non,j’avoue…ça fait parti de la liste des jouets qui font flippé …
avec ses gros yeux exorbités,de plus ,on ne peut pas regler le son du bestio’
#48
JE
VEUX
TE
FAIRE
UN
CALIN
VIENS
…
MAINTENANT.
Nan sérieusement, y’a quelqu’un ici qui a acheté des jouets connectés et qui flippe pas un peu ?
#49
Je te cite en réponse mais cela vaux aussi pour les extrémistes du haut.
On parle ici d’UFC, donc grosse pincettes avec leur études toujours grandiloquentes.
On mélange Cayla et le i.que (que je ne connais pas) pour faire une désinformation.
Raisonnons sans tomber dans la peur que l’UFC utilise.
Cayla, c’est juste une poupée avec une enceinte Bluetooth. Tout ce passe dans l’application. Cette application ne requière aucune création de compte ou autre et fonctionne en mode Hors-ligne aussi.
Contrairement à ce qui est dit, et hors l’intervention d’un génie de l’informatique, on ne peu absolument pas lui f
#50
Je te cite en réponse mais cela vaut aussi pour les extrémistes du haut.
On parle ici d’UFC, donc grosses pincettes avec leurs études toujours grandiloquentes.
On mélange Cayla et le i que (que je ne connais pas) pour faire une désinformation.
Raisonnons sans tomber dans la peur que l’UFC utilise.
Cayla, c’est juste une poupée avec une enceinte Bluetooth. Tout passe par l’application. Cette application ne requière aucune création de compte où autre et fonctionne en mode Hors-ligne aussi.
Contrairement à ce qui est dit, et hors l’intervention d’un génie de l’informatique, on ne peut absolument pas lui faire dire n’importe quoi ou écouter avec. Si n’importe qui peut effectivement se connecter à la poupée (quand aucune autre connexion n’est en cours) tout ce qu’il peut faire c’est lui poser des questions et faire flipper la gamine qui pense que sa poupée fonctionne toute seule. Rien d’autre !
Pour la pub, je le redis pour avoir pas mal testé, rien de spécial. Si tu dis par exemple le titre d’un dessin animé la poupée te donne toutes les informations dessus. Ce n’est pas de la pub. Par contre, je n’ai jamais entendu une pub réelle à parce qu’elle cite parfois des marques d’elle-même comme par exemple sortir “j’ai vu le dernier Disney, il est super”. Et c’est là que je cite l’exemple de la cour; les gamines se posent ce genre de questions entre elles. Après oui, Cayla doit faire du tracking mais vu le jouet bof. La gamine s’amuse juste à jouer à la poupée en racontant des conneries. Dans le genre tracking bancale ça doit être le top.
Après oui, comme tout choses, la poupée est “piratable” facilement mais… il faut un pro de l’informatique, pédophile et à moins de 10 mètres de la poupée. Avouez que ça cours par les rue… d’autant plus que les voisins ont de grandes chances d’être des Michu aussi.
Reste l’application en elle-même mais c’est comme tout; rien n’est inviolable.
Après, pour mon cas perso, tout mon réseau passe par VPN et j’utilise des comptes bidon pour google and Co… alors…
#51
#52
La voix elle est restituée à l’identique ?
" />
Parceque entendre une poupée avec une voix d’homme ça doit être dur pour berner les enfants
la poupée “tu sais que ta mère est une conasse ?”
la fille : “hey papa tu saoul grave là !”
#53
Des vrais amis ne font pas ça, ce sont des connaissances. Un ami te dis juste qu’il a été con et qu’il a fait une connerie sur l’ordinateur sans penser que ton temps est moins important.
#54
Là je crois qu’on a touché le fond…
#55
Ca doit être possible d’aller plus au fond encore, avec le stérilet connecté par exemple.
#56
Les chocs septiques lié a l’usage de tampon c’est pas nouveau, faut lire le mode d’emploi.
#57
Comme je le dis toujours,le probleme date de …piou!
http://download.abandonware.org/magazines/Tilt/tilt_numero005/Tilt%20005%20-%20P…
http://download.abandonware.org/magazines/Tilt/tilt_numero005/Tilt%20005%20-%20P..httphttphttp://download.abandonware.org/magazines/Tilt/tilt_numero005/Tilt%20005%20-%20P…
#58
Ça concerne le papa qui “joue” avec la Barbie ou pas ? Enfin celle qui garde les enfants. Espérons pour lui que ses données soit sécurisées.
" />
#59
*soient
" />
#60
#61
Rien que pour pouvoir faire dire à la poupée “Bonjour je m’appelle Chucky. Dis, tu veux être mon amie. Hayhiho !”, je fais en offrir une à ma petite voisine et me mettre au hacking
#62
Quand tu as l’âge d’avoir un enfant qui joue avec cette poupée c’est que tu navigues ds la technologie depuis l’adolescence voire l’enfance. Certes tout le monde n’a pas le même niveau mais globalement les 30naires sont mieux informés que papi et mamie en mode “Mais tu ne sais pas cliquer !”
#63
Bravo les commentaires.. Sinon, si vous n’avez rien à dire, faites le en silence ..
#64
+1, nous aussi on s’est loupé
" />
#65
#66
Le problème c’est que le “génie informatique” revend ou met à disposition maintenant des kits prés à l’emploi utilisables par n’importe qui. D’où les scripts kiddies qui passent leur temps à essayer de se connecter sur des sites, serveurs …. et sont des vraies plaies de par leur obstination.
#67
#68
Ou que tu veux faire plaisir à ton gamin :p
Mais globalement je suis d’accord.
#69
#70
Ceux qui croient savoir sont encore pires que ce qui savent qu’ils ne savent pas.
J’ai l’age en question, et j’ai des tas d’amis ou de connaissances qui utilisent l’informatique au quotidien et depuis qu’ils ont 7-8 an sans vraiment comprendre comment ça marche. C’est pas qu’ils soient bêtes, juste qu’ils n’ont jamais pris le temps de comprendre. Bah ils font régulièrement du caca…
#71
Ha mais je suis d’accord… sauf qu’à un moment faut choisir : y’a des michu de partout ou des scripts kiddies de partout ?
Parce que même la famille Michu doit avoir un minimum de connaissances pour utiliser un script, voir juste savoir comment ce le procurer.
Après, si vos voisins ont un petit gamin boutonneux de 15 ans… faut faire gaffe si votre gamine à cette poupée. hihi
#72
Je pensais que cette poupée était un jouet récent, mais les commentaires sur Amazon ont déjà plus d’un an, et sont plutôt positif, Cayla est déjà dispo en version 2.0. Les requêtes vocales sont envoyées sur un serveur US pour décodage, c’est finalement comme Siri /Cortana/Google Now, la poupée Cayla pour les filles, le robot I-Que pour les garçon et Siri pour papa/maman, vive la famille connectée
" />
La connexion se fait en bluetooth et on a besoin d’une tablette/télépone pour installer l’appli qui sert de aussi de filtre parental et de contrôle pour éviter les gros mots. Cela offre quand même une certaines sécurité. Est-ce qu’il existe des versions Wifi de ce genre de jouet avec une connexion directe sur Internet ?
#73
Ben, le script kiddie c’est le fils de madame michu pardi ! Il sait télécharger une application pour son smartphone lui et accessoirement regardera une vidéo pour mettre son téléphone en mode root .
" />
#74
Non je ne pense pas. D’ailleurs, la poupée en elle-même ne se connecte à rien d’autre que la tablette/smartphone. L’application utilise le micro du terminal et, sur android, les API google. C’est de la synthèse vocal basé sur Google Now (pour la partie informations en ligne) qui est retranscrit par l’enceinte de la poupée. En gros de gros, on pourrais tout à fait ce passé de la poupée et utilisé n’importe qu’elle autre enceinte/casque.
#75
Le problème est pas uniquement lié à l’IOT. Les utilisateurs finaux sont pas prêts à acheter de la sécurité tout simplement et ça se voit déjà au niveau des smartphones. Les gens veulent pas savoir comment ça marche, et on leur vend du non sécurisé en leur garantissant la simplicité d’utilisation.
Parallèlement il y a un fort potentiel utile si c’est bien encadré, et si on dépasse le cadre du gadget. et la législation évolue rapidement et plutôt efficacement. A vue de nez, ce genre de produit ne respecte pas la nouvelle réglementation sur la protection des données qui met un accent particulier sur les données des enfants.
Mais c’est claire que pour l’instant c’est du gadget parce que le nom fait vendre et qu’il n’y a pas de petit profit quand il s’agit de récolter des données personnelles dans le dos du consommateur.
#76
#77
#78
Est-ce que j’ai parlé ou indiqué que mon “ami” pensait que mon temps n’était pas important ?
J’ai pas trop compris ton commentaire en fait pour être honnête.
#79
Bon y a pire que Cayla et i-Que…
" />, un joli cadeau pour noel
https://www.youtube.com/watch?v=-bttmx8VGac
#80
#81
Gné ?! Contrairement à tous les commentaires ici, j’ai une poupée Cayla chez moi en attente d’être emballée. Et Cayla, je le répète, ce n’est ni plus ni moins qu’une poupée avec un enceinte bluetooth. La poupée ne fait rien de rien. Tout ce passe dans l’application qui envoie le son à la poupée en bluetooth. Donc, oui, n’importe qui ayant l’application peu ce connecter à la poupée mais restera limité aux fonctions de la poupée. Il faut donc “pirater” l’application pour arriver à faire des choses plus chelou… et tout ça en restant à moins de 10 mètres de la poupée. Pour que le cas ce présente il faut un alignement de planètes conséquent.
Pour le tracking, je l’accorde, je n’ai pas testé sur du long long terme mais ayant regardé les commentaires et autres vidéos sur YT ce n’est pas un éléments qui ressort… et la poupée à 2 ans de commercialisation. Une gamine jouant avec cette poupée raconte des histoires à la con, donc le tracking puant voilà quoi… ce n’est pas google and co non plus…
Le problème avec UFC and co, c’est qu’ils utilisent les mêmes techniques basé sur le peur primaire pour obtenir plus de vue et fair ele buzz… c’est mêmes techniques dénoncé sur NXi car utilisé par les gouvernements.
#82
UFC-Que Choisir n’est pas seul à dénoncer ces jouets. Il semble que ce soit une action coordonnée des 2 côtés de l’Atlantique.
#83