En décembre 2016, je vous parlais des dangers des jouets connectés (Bientôt Noël : attention aux jouets connectés !) car l'association de consommateurs UFC-Que Choisir dénonçait "des lacunes quant à la sécurité et la protection des données personnelles des enfants utilisateurs" de la poupée "Mon amie Cayla" et du robot "i-Que".
Nous voici en décembre 2017 et c'est la Commission nationale de l'informatique et des libertés (Cnil) qui met en demeure la société chinoise "Genesis Industries Limited" qui vend ces jouets pour "pour atteinte grave à la vie privée en raison d’un défaut de sécurité". Le site Numerama explique que "selon les contrôles menés par la Cnil, il a été possible de connecter un smartphone à l’un de ces jouets en étant à une distance de 9 mètres, par Bluetooth, sans qu’aucun mot de passe ne soit demandé ni aucun bouton d’appairage ne soit actionné."
La Cnil explique aussi que la "la société collecte une multitude d’informations personnelles sur les enfants et leur entourage : les voix, le contenu des conversations échangées avec les jouets (qui peut révéler des données identifiantes comme une adresse, un nom…)". Et la Cnil "rappelle que cette mise en demeure n'est pas une sanction. Aucune suite ne sera donnée à cette procédure si la société se conforme à la loi dans le délai imparti."
Récemment, c'est l'institut Stiftung Warentest, l’équivalent allemand de l'association de consommateurs UFC-Que Choisir qui a testé la sécurité des connexions et de la transmission des données de 7 jouets connectés. Verdict : "Aucun de ces robots, peluches ou poupées n’offre un niveau de sécurité acceptable." De plus, "nos collègues allemands ont aussi constaté, sur différentes applications, l’envoi d’informations à Google ou à des tiers à des fins publicitaires ainsi que le recours à des traceurs capables, a priori, de reconstituer les déplacements des parents."
En novembre 2017, c'est l’association britannique de consommateurs Which? qui alertait sur une faille de sécurité présente sur plusieurs jouets connectés vendus aussi en France : la peluche Furby Connect, le robot i-Que, le petit chien Toy-Fi Teddy et les animaux CloudPets. Le risque étant que les enfants puissent être contactés par une personne mal-intentionnée.
Sur les peluches connectées CloudPets, il faut savoir qu'elles ont été victimes de plusieurs actes de piratage courant janvier 2017 rapporte Mashable : "Des messages vocaux auraient été interceptés et supprimés par des hackeurs, puis utilisés pour demander une rançon à certains parents en échange des enregistrements de leur progéniture." Et l'on apprend qu'au total, "821 000 jouets et plus de deux millions de messages vocaux seraient concernés par le piratage. Tous étaient stockés sur une base de données non sécurisée facilement accessible par les pirates". Et en 2015, ce sont les jouets VTech qui ont été victimes d’un piratage.
En février 2017, l’Allemagne a interdit la distribution et la vente de la poupée "Mon amie Cayla" et du robot "i-Que". A l'époque, Monique Goyens, Directrice Générale de l’Organisation Européenne des Consommateurs disait : "d’autres pays européens doivent suivre l’exemple des régulateurs allemands et interdire ces produits sur le marché."
En juillet 2017, c'est le FBI qui avertissait les parents des dangers des jouets connectés : "leurs caractéristiques pourraient mettre en danger la vie privée et la sécurité des enfants en raison de la grande quantité d’informations personnelles qui peuvent être divulguées involontairement". Et le FBI d'ajouter que "la collecte des informations personnelles d’un enfant combinée à la capacité d’un jouet à se connecter à Internet ou à d’autres dispositifs soulève des préoccupations pour la vie privée et la sécurité physique".
Et pour rappel, le FBI s'y connait en espionnage : Yahoo : après le piratage de comptes mails, l'espionnage pour le FBI ! Et n’oublions pas les paroles du lanceur d'alerte américain Edward Snowden en 2013 : "Le FBI, la NSA et la CIA peuvent obtenir tout ce qu'ils veulent".
Plus globalement sur les produits connectés, vous pouvez regarder cette interview par la Radio Télévision Suisse (RTS) de Solange Ghernaouti, experte en sécurité et criminalité informatique et professeure à l'Université de Lausanne : "La capacité d'espionnage des objets connectés est sous-estimée".
D'ailleurs, et si l'enceinte connectée était aussi la mauvaise idée cadeau de cette fin d'année ? demande le site Next INpact. Pourquoi ? "La question de l'utilisation de vos données personnelles pour le fonctionnement de ces outils qui sont à votre écoute en permanence." Mais également : "quand on arrive chez des amis équipés d'une enceinte connectée, comment leur faire savoir que nous ne voulons pas qu'elle soit à notre écoute ?"
Vous avez déjà acheté pour Noël certains de ces jouets ou objets connectés ? L’Institut national de la consommation dit que "si le cadeau a été acheté sur Internet ou plus généralement à distance, il peut être retourné au vendeur au titre du droit de rétractation" et "vous disposez d’un délai de 14 jours calendaires (samedi, dimanche, jours fériés et jours chômés inclus) pour lui indiquer votre souhait de vous rétracter."
Donc pour Noël, débranche ! 😉
Agrandissement : Illustration 1
