Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que
Quand le robot se mord l'I-Que
Le 04 décembre 2017 à 13h04
5 min
Droit
Droit
L’an passé, l’UFC-Que choisir avait dénoncé les dangers des jouets connectés, en particulier le faible niveau de sécurisation de la poupée Cayla ou du robot i-Que. Un an plus tard, la CNIL vient d’adresser une mise en demeure à leur fabricant chinois, Genesis Industries Limited.
Des fabricants ont « fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter », s’agaçait alors l’association.
La poupée connectée Cayla ou le robot i-Que en main, elle affirmait à quelques jours de Noel qu’ « un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti ». L’UFC-Que Choisir avait saisi la CNIL et la DGCCRF, l’une pour éprouver la gestion des données personnelles, l’autre, le niveau de sécurité des jouets.
Bien lui en a pris. Un an plus tard, la CNIL vient d’adresser une mise en demeure publique (pdf) à l’encontre de Genesis, le fabricant installé à Hong-Kong. Ces deux jouets sont « destinés à entretenir une conversation avec les enfants d’au moins cinq ans et à répondre à des questions diverses telles que notamment des calculs mathématiques ou encore la météo » résume l’autorité.
Un système de reconnaissance vocale permet en effet de convertir les paroles en textes afin d’effectuer des recherches sur Google, Wikipedia ou Weather Underground. Associés avec application Android ou iOS, ils sont équipés de micro et d’un haut-parleur.
Bluetooth sans mot de passe, un jouet kit mains libres à 20 mètres
Néanmoins, la CNIL a remarqué à son tour quelques lourds problèmes : l’appairage se fait par Bluetooth, mais sans le moindre mot de passe. Il est du coup possible de communiquer avec l’enfant par l’intermédiaire d’un jouet transformé alors en kit mains libres. Il est tout autant possible d’entendre et enregistrer depuis ses entrées audio grâce à une simple application « dictaphone » après un couplage avec le smartphone.
Selon sa doctrine, la voix d’une personne tout comme les IP sont des données personnelles, sachant que les propos prononcés peuvent véhiculer d’autres données comme des noms, prénom, adresse, etc.
Lors d’un test, la CNIL a par exemple constaté qu’un de ses contrôleurs, à 9 m de distance, a pu entendre les conversations se déroulant à proximité du jouet et de communiquer avec un autre contrôleur se situant la même pièce.
Après un premier appairage, un utilisateur situé cette fois à 20 m du jouet a pu poursuivre ces échanges à l’extérieur du bâtiment où se trouvaient les objets. Bref, un pont d’or pour espionner à distance ces bouts de vie privée afin d’entendre, enregistrer les propos voire communiquer avec les personnes situées dans l’entourage des jouets en cause.
« Le défaut de sécurisation par la société du dispositif de communication Bluetooth porte atteinte à la vie privée des personnes dès lors que tout tiers non autorisé peut avoir accès à des informations relevant de l’intimité de la vie privée des personnes ainsi qu’à leurs comportements alors qu’elles font usage de ces jouets dans un cercle familial ou amical » déplore la CNIL.
Elle ajoute que l’atteinte à la vie privée est d’une « particulière gravité » puisqu’elle vise un public vulnérable.
Une pluie de défauts d'information
Outre ce manquement à la vie privée et aux libertés individuelles, elle a constaté un défaut d’information sur les traitements de données personnelles. Lors de l’installation, les jouets glanent en effet nombreuses informations via un formulaire (nom et prénom des enfants et parents, nom de son école, lieu d’habitation, outre ses émissions, sports, contes, etc. préférés).
Mais ce flot, gorgé de données personnelles, est traité par un prestataire installé aux États-Unis, sans que la moindre information ne soit fournie sur la destination et le contenu de ces transferts. On ne connaît pas davantage la finalité de cet envoi, ni les catégories de destinataires ni même le niveau de sécurité.
Ce n’est pas tout : les conversations entre utilisateurs et les jouets se font via le protocole non chiffré HTTP, ce qui entraine un autre manquement, cette fois à l’obligation d’assurer la sécurité et la confidentialité des données. Bref, on ne peut pas faire pire en la matière !
La CNIL, qui profite de la fenêtre pour sensibiliser les parents notamment sur Twitter, a mis en demeure la société Genesis de sécuriser ses jouets i-Que et My Friend Cayla dans un délai de deux mois. Elle devra patcher les fonctions Bluetooth et opter pour un protocole plus solide que le HTTP. Elle lui demande également d’informer toutes les personnes concernées, notamment sur ses formulaires et ses CGU.
En février 2017, la CNIL allemande – la Bundesnetzagentur – s'en était déjà pris à la poupée connectée Cayla pour des raisons similaires. Le fabricant risque en France une sanction de 3 millions d’euros s’il ne se conforme pas à cette délibération. Celle-ci n’a par contre pas la compétence d’ordonner le retrait du produit, décision qui relève davantage des cordes de la DGCCRF.
Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que
-
Bluetooth sans mot de passe, un jouet kit mains libres à 20 mètres
-
Une pluie de défauts d'information
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/12/2017 à 15h11
Vous croyez qu’on vous a pas vu nous appâter avec un sous-titre pareil ? " />
Le 04/12/2017 à 23h06
Pardon d’avance pour le sous-titre alternatif :
“I-QUe Ta Mère” ? (Avec l’accent “CAYLA”-Ra des Té-Ci !)
" />
" />
Le 05/12/2017 à 06h24
Ce serait contre-productif en réalité, les français n’ont pas confiance dans les médias et croient plus ce qui se dit sur les machins sociaux.
Le 05/12/2017 à 07h55
Si la poupée commence à demander à votre fille si elle aime les films de gladiateurs, sortez le lance flammes " />
Le 05/12/2017 à 13h09
Attention également aux furby-vador " />
https://hackaday.com/2017/11/26/mission-impossible-infiltrating-furby/
Le 05/12/2017 à 17h10
Le 05/12/2017 à 17h27
Ironiquement, les sondages sur l’indice de confiance des français dans les médias (qui remonte légèrement dernièrement) indiquent qu’Internet est devenu une des sources les plus fréquentes, mais qu’ils ont encore moins confiance dedans…
Le 05/12/2017 à 18h02
Internet? C’est très vague. C’est plus un moyen de diffusion non?
Entre les sites conspirationnistes, Facebook qui diffuse tout et n’importe quoi, Twitter idem, ça ne m’étonne pas que les Français aient moins confiance.
Noyer les sources d’informations fiables dans un océan de médiocrité…le travail fonctionne bien on dirait.
Le 06/12/2017 à 06h18
On parle de sondage fait auprès du grand public, donc Internet = Google + Facebook.
Le 04/12/2017 à 13h26
La CNIL devrait pouvoir faire “gratuitement” des annonces sur la dangerosité des jouets sur les grands médias, ca serait très très efficace.
Le 04/12/2017 à 13h30
Yaurait beaucoup d’annonces à faire " />
Le 04/12/2017 à 13h35
Le 04/12/2017 à 13h38
Déjà il faut vouloir acheter ce genre de jouets… " />
Des parents “je n’ai rien à cacher”, qui ne s’intéressent pas à ces failles ! Tant que le mioche leur fout la paix " />
Le 04/12/2017 à 14h08
Une poupée qui ferme sa gueule et non connectée, c’est mieux pour tout le monde. Foi de (jeune) parent.
En plus sur ce créneau, ce sont des marques Françaises et Allemandes qui dominent.
Le 04/12/2017 à 14h22
Le 04/12/2017 à 14h55
Si ces jouets ne sont pas conformes, il faudrait simplement les interdire.
Le 04/12/2017 à 14h59
Alors d’un côté je suis OK mais d’un autre côté pour avoir touché du BT couplé avec arduino il est pas possible de changer le mot de passe sans rajouter une soudure et entrer dans un mode spécial. Ceci explique cela ? :)