Connexion
Abonnez-vous

Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que

Quand le robot se mord l'I-Que

Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que

Le 04 décembre 2017 à 13h04

L’an passé, l’UFC-Que choisir avait dénoncé les dangers des jouets connectés, en particulier le faible niveau de sécurisation de la poupée Cayla ou du robot i-Que. Un an plus tard, la CNIL vient d’adresser une mise en demeure à leur fabricant chinois, Genesis Industries Limited.

Des fabricants ont « fait le choix d’une connexion simple et rapide, aucun code d’accès ou procédure d’association entre ces jouets et les téléphones/tablettes n’est exigé avant la connexion au jouet, ce qui garantirait pourtant que seul le propriétaire puisse s’y connecter », s’agaçait alors l’association.

La poupée connectée Cayla ou le robot i-Que en main, elle affirmait à quelques jours de Noel qu’ « un tiers situé à 20 mètres du jouet peut s’y connecter par Bluetooth et entendre ce que dit votre enfant à sa poupée ou à son robot, sans même que vous en soyez averti ». L’UFC-Que Choisir avait saisi la CNIL et la DGCCRF, l’une pour éprouver la gestion des données personnelles, l’autre, le niveau de sécurité des jouets.

Bien lui en a pris. Un an plus tard, la CNIL vient d’adresser une mise en demeure publique (pdf) à l’encontre de Genesis, le fabricant installé à Hong-Kong. Ces deux jouets sont « destinés à entretenir une conversation avec les enfants d’au moins cinq ans et à répondre à des questions diverses telles que notamment des calculs mathématiques ou encore la météo » résume l’autorité.

Un système de reconnaissance vocale permet en effet de convertir les paroles en textes afin d’effectuer des recherches sur Google, Wikipedia ou Weather Underground. Associés avec application Android ou iOS, ils sont équipés de micro et d’un haut-parleur.

Bluetooth sans mot de passe, un jouet kit mains libres à 20 mètres

Néanmoins, la CNIL a remarqué à son tour quelques lourds problèmes : l’appairage se fait par Bluetooth, mais sans le moindre mot de passe. Il est du coup possible de communiquer avec l’enfant par l’intermédiaire d’un jouet transformé alors en kit mains libres. Il est tout autant possible d’entendre et enregistrer depuis ses entrées audio grâce à une simple application « dictaphone » après un couplage avec le smartphone.  

Selon sa doctrine, la voix d’une personne tout comme les IP sont des données personnelles, sachant que les propos prononcés peuvent véhiculer d’autres données comme des noms, prénom, adresse, etc.   

Lors d’un test, la CNIL a par exemple constaté qu’un de ses contrôleurs, à 9 m de distance, a pu entendre les conversations se déroulant à proximité du jouet et de communiquer avec un autre contrôleur se situant la même pièce.

Après un premier appairage, un utilisateur situé cette fois à 20 m du jouet a pu poursuivre ces échanges à l’extérieur du bâtiment où se trouvaient les objets. Bref, un pont d’or pour espionner à distance ces bouts de vie privée afin d’entendre, enregistrer les propos voire communiquer avec les personnes situées dans l’entourage des jouets en cause.

« Le défaut de sécurisation par la société du dispositif de communication Bluetooth porte atteinte à la vie privée des personnes dès lors que tout tiers non autorisé peut avoir accès à des informations relevant de l’intimité de la vie privée des personnes ainsi qu’à leurs comportements alors qu’elles font usage de ces jouets dans un cercle familial ou amical » déplore la CNIL.

Elle ajoute que l’atteinte à la vie privée est d’une « particulière gravité » puisqu’elle vise un public vulnérable.  

Une pluie de défauts d'information 

Outre ce manquement à la vie privée et aux libertés individuelles, elle a constaté un défaut d’information sur les traitements de données personnelles. Lors de l’installation, les jouets glanent en effet nombreuses informations via un formulaire (nom et prénom des enfants et parents, nom de son école, lieu d’habitation, outre ses émissions, sports, contes, etc. préférés).

Mais ce flot, gorgé de données personnelles, est traité par un prestataire installé aux États-Unis, sans que la moindre information ne soit fournie sur la destination et le contenu de ces transferts. On ne connaît pas davantage la finalité de cet envoi, ni les catégories de destinataires ni même le niveau de sécurité.

Ce n’est pas tout : les conversations entre utilisateurs et les jouets se font via le protocole non chiffré HTTP, ce qui entraine un autre manquement, cette fois à l’obligation d’assurer la sécurité et la confidentialité des données. Bref, on ne peut pas faire pire en la matière !

La CNIL, qui profite de la fenêtre pour sensibiliser les parents notamment sur Twitter, a mis en demeure la société Genesis de sécuriser ses jouets i-Que et My Friend Cayla dans un délai de deux mois. Elle devra patcher les fonctions Bluetooth et opter pour un protocole plus solide que le HTTP. Elle lui demande également d’informer toutes les personnes concernées, notamment sur ses formulaires et ses CGU.

En février 2017, la CNIL allemande – la Bundesnetzagentur – s'en était déjà pris à la poupée connectée Cayla pour des raisons similaires. Le fabricant risque en France une sanction de 3 millions d’euros s’il ne se conforme pas à cette délibération. Celle-ci n’a par contre pas la compétence d’ordonner le retrait du produit, décision qui relève davantage des cordes de la DGCCRF. 

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Vous croyez qu’on vous a pas vu nous appâter avec un sous-titre pareil ?&nbsp;<img data-src=" />

votre avatar

Pardon d’avance pour le sous-titre alternatif :



&nbsp; “I-QUe Ta Mère” ? (Avec l’accent “CAYLA”-Ra des Té-Ci !)



<img data-src=" />

<img data-src=" />

votre avatar

Ce serait contre-productif en réalité, les français n’ont pas confiance dans les médias et croient plus ce qui se dit sur les machins sociaux.

votre avatar

Si la poupée commence à demander à votre fille si elle aime les films de gladiateurs, sortez le lance flammes <img data-src=" />

votre avatar

Attention également aux furby-vador <img data-src=" />&nbsp;

https://hackaday.com/2017/11/26/mission-impossible-infiltrating-furby/

votre avatar







SebGF a écrit :



Ce serait contre-productif en réalité, les français n’ont pas confiance dans les médias et croient plus ce qui se dit sur les machins sociaux.





“Les médias nous mentent.”

“Je l’ai lu sur Facebook.”


votre avatar

Ironiquement, les sondages sur l’indice de confiance des français dans les médias (qui remonte légèrement dernièrement) indiquent qu’Internet est devenu une des sources les plus fréquentes, mais qu’ils ont encore moins confiance dedans…

votre avatar

Internet? C’est très vague. C’est plus un moyen de diffusion non?



Entre les sites conspirationnistes, Facebook qui diffuse tout et n’importe quoi, Twitter idem, ça ne m’étonne pas que les Français aient moins confiance.



Noyer les sources d’informations fiables dans un océan de médiocrité…le travail fonctionne bien on dirait.

votre avatar

On parle de sondage fait auprès du grand public, donc Internet = Google + Facebook.

votre avatar

La CNIL devrait pouvoir faire “gratuitement” des annonces sur la dangerosité des jouets sur les grands médias, ca serait très très efficace.

votre avatar

Yaurait beaucoup d’annonces à faire <img data-src=" />

votre avatar







PtiDidi a écrit :



Yaurait beaucoup d’annonces à faire <img data-src=" />







Commençons par la première : Facebook <img data-src=" />


votre avatar

Déjà il faut vouloir acheter ce genre de jouets…&nbsp; <img data-src=" />



Des parents “je n’ai rien à cacher”, qui ne s’intéressent pas à ces failles ! Tant que le mioche leur fout la paix <img data-src=" />

votre avatar

Une poupée qui ferme sa gueule et non connectée, c’est mieux pour tout le monde. Foi de (jeune) parent.



En plus sur ce créneau, ce sont des marques Françaises et Allemandes qui dominent.

votre avatar







ToMMyBoaY a écrit :



Une poupée qui ferme sa gueule et non connectée, c’est mieux pour tout le monde. Foi de (jeune) parent.







+1 Foi de jeunerécent grand-parent


votre avatar

Si ces jouets ne sont pas conformes, il faudrait simplement les interdire.

votre avatar

Alors d’un côté je suis OK mais d’un autre côté pour avoir touché du BT couplé avec arduino il est pas possible de changer le mot de passe sans rajouter une soudure et entrer dans un mode spécial. Ceci explique cela ? :)

Jouets connectés : la CNIL dénonce les failles de la poupée Cayla et du robot i-Que

  • Bluetooth sans mot de passe, un jouet kit mains libres à 20 mètres

  • Une pluie de défauts d'information 

Fermer