“Maman, y’a un hacker dans ma poupée” : ces jouets connectés accusés d’espionnage

Si vous êtes allergique aux poupées blondes vêtues de rose, cet article ne vous fera pas changer d’avis. Déjà accusée de véhiculer des stéréotypes, la dernière génération de personnages en plastique prête le flanc à un nouveau reproche : derrière leurs visages poupins, ces jouets sont accusés par plusieurs associations de consommateurs dans le monde d’être un cheval de Troie de l’espionnage.

Cayla est équipée d’un microphone, d’un haut-parleur et surtout d’une connexion à Internet, qui s’active via une application mobile. Poupée dernier cri, elle sait répondre aux questions qui lui sont posées. Mais Cayla pâtit d’une faille de sécurité révélée par un étudiant allemand : aucun mot de passe ne protège sa connexion, permettant à un individu situé à moins de 15 mètres d’infiltrer son logiciel. Intransigeants sur la question, les pouvoirs publics allemands ont interdit sa commercialisation, dénonçant un “dispositif d’espionnage dissimulé”.

L’entreprise VTech, elle, vend des tablettes pour enfants qu’eux ou leurs parents peuvent enrichir en téléchargeant des applications sur une plateforme dédiée. La firme a été la cible d’un piratage en novembre 2015. Le hacker est parvenu à s’emparer des adresses postales, courriels, noms et adresses IP de certains utilisateurs. Subtilisant même prénoms, genre et date de naissance de 200 000 enfants.

L’auteur de ce méfait a affirmé à Motherboard que ses intentions n’étaient pas mauvaises, faisant valoir qu’il n’a pas publié les données dérobées. Pas de quoi vaincre la méfiance naissante à l’égard d’une entreprise spécialisée dans le jouet pour enfants et non pas dans la sécurité informatique.

Toujours en 2015, alors que les ventes de sa poupée iconique sont en baisse, Mattel veut se relancer avec Hello Barbie, sa version connectée. Pour ce projet, elle travaille avec ToyTalk, une entreprise qui développe des logiciels de reconnaissance vocale. Afin de pouvoir discuter avec le jouet connecté, l’enfant doit maintenir un bouton tout en parlant. Le fichier audio est ensuite envoyé aux serveurs de l’entreprise qui renvoient une réponse générée automatiquement, puis diffusée par le haut-parleur de la poupée.

Dans un billet publié sur son blog, ToyTalk assure que le contenu des conversations entre l’enfant et sa poupée est conservé dans un système sécurisé. L’entreprise américaine se targue également de n’avoir jamais été piratée et met en avant le cryptage utilisé pour les communications entre ses serveurs et Hello Barbie. Un chercheur américain en sécurité informatique affirme pourtant le contraire : en effet, il serait parvenu à entrer dans le logiciel et à prendre le contrôle du microphone.

En Allemagne, la presse n’a pas hésité à rebaptiser ce jouet “Barbie Stasi”  qui n’est vendu, pour l’instant, qu’aux États-Unis. Les autorités allemandes n’ont pas été plus tendres avec sa concurrente Cayla, dernièrement interdite à la vente. L’agence nationale en charge du dossier a reproché à la poupée la transmission des fichiers audio sans l’accord préalable des parents. “N’importe quel jouet capable de transmettre des signaux et qui peut être utilisé pour enregistrer des images et du son est interdit en Allemagne”, a-t-elle annoncé le 17 février.

En décembre 2016, Genesis Toys, la firme ayant conçu la poupée polémique, était déjà la cible de vives critiques : l’association européenne des consommateurs (BEUC) attirait l’attention de la Commission européenne sur les jouets connectés de cette marque, de même que sur Hello Barbie de Mattel.

Le même mois, le Conseil norvégien des consommateurs dénonçait les publicités dissimulées dans le système qui équipe Cayla. En effet, celle-ci est susceptible de partager sa passion pour les films de Disney. Pourquoi ? Car le sous-traitant à l’origine du logiciel entretient une “relation commerciale” avec le géant de l’animation… Dès lors, il est permis de douter de l’usage fait des informations collectées sur les enfants (âge, préférences…) par leurs amis en plastique.

Chez Mattel, l’usage illégal du tracking sur son site, fréquenté par des milliers d’enfants, n’a pas rétabli la confiance des consommateurs. Aux États-Unis, cette pratique répandue, qui consiste à pister la navigation d’un internaute pour lui montrer des publicités ciblées, est strictement interdite quand elle vise des mineurs de moins de 13 ans. C’est ce que le procureur général de New-York, Eric Schneiderman, a rappelé à Mattel et à d’autres entreprises en septembre dernier, les condamnant à régler une amende totale de 850 000 dollars.

Au regard de l’intérêt de grandes multinationales pour les objets connectés à destination des plus jeunes et des failles de sécurité révélées, l’inquiétude est légitime. Même si, en pratique, il semble falloir craindre davantage la manipulation des données des enfants à des fins commerciales plutôt que l’espionnage.

À LIRE AUSSI : China Labor Watch, le vrai visage des usines de Barbie en Chine