Noël approche, et les jouets connectés sont de plus en plus nombreux à être réclamés au Père-Noël. Le problème, c’est que certains jouets ne respectent pas la loi informatique et libertés. C’est en tout cas ce que dénonce la CNIL (Commission Nationale de l’Informatique et des Libertés), qui vient de mettre en demeure la compagnie Genesis Industries Limited de sécuriser deux de ses jouets connectés. Quels sont les risques et comment se protéger ?
Deux jouets dans le collimateur
L’article 34 de la loi informatique et libertés est très clair. Les fabricants ont pour obligation de sécuriser les informations collectées par les objets connectés. Les marques doivent donc « prendre toutes précautions utiles, au regard de la nature des données et des risques présentées par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
C’est pour la dernière partie qu’Isabelle Falque-Pierrotin, présidente de la CNIL, s’inquiète particulièrement, en pointant du doigt deux jouets connectés que sont la poupée « My Friend Cayla », et le robot « I-Que ».
C’est une association de consommateurs qui a détecté le problème et qui a donc contacté l’organisme en décembre 2017. L’autorité française a alors clairement établi que la société Genesis Industrie Limited, basée à Hong-Kong, collectait grâce à ses jouets des informations personnelles sur les enfants et leur entourage. Ainsi, grâce aux micros présents dans les jouets, la CNIL estime que la compagnie peut avoir accès aux conversations échangées à proximité du jouet, et qu’il y a un risque pour la vie privée des familles.
N’importe qui peut se connecter
Plus inquiétant encore, un autre défaut de sécurité a était détecté, puisque n’importe qui à moins de 10 mètres du jouet peut se connecter en Bluetooth à ce dernier. Il n’y a pas besoin de code, et l’appairage se fait alors sans la moindre identification.
Il est donc possible qu’une personne extérieure du foyer se connecte et écoute les discussions à l’intérieur de la maison. Pire encore, il est même possible de communiquer avec l’enfant grâce au haut-parleur. On peut alors très bien imaginer qu’une personne malintentionnée fasse parler le jouet pour demander à l’enfant de sortir de chez lui…
Si l’idée d’un jouet de ce type séduit de nombreux utilisateurs, y compris les parents plutôt contents de pouvoir faire parler les jouets, et donc leur donner vie, le problème de sécurité relevé par la CNIL ne fait pas rire les autorités. L’article 1er de la loi informatique et libertés explique clairement que « l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Comment sécuriser les jouets connectés ?
Avant de sécuriser un jouet connecté, il faut être conscient des enjeux pour la vie privée. Une mauvaise utilisation, ou un jouet mal sécurisé peuvent confronter les utilisateurs à plusieurs problèmes.
Le premier est le détournement des communications ou des données collectées. Dans le meilleur des cas, elles serviront uniquement à des fins de ciblage publicitaire, mais dans les pires des cas elles pourront être utilisées pour une usurpation d’identité, une escroquerie ou même du harcèlement.
Comme expliqué un peu plus haut, il y a également la possibilité que le jouet soit utilisé comme un objet d’écoute ou de communication, grâce aux micros et haut-parleurs qui l’équipent. C’est plutôt bien pour les parents qui peuvent écouter ce que font leurs enfants, voir même interagir avec eux pour un jeu sympa.
Attention toutefois, ce type de pratique peut finir par nuire à la confiance que les enfants ont envers leurs parents, et il faut être capable de laisser un jardin secret et un peu d’espace à nos chères têtes blondes. C’est également dangereux si le jouet n’est pas sécurisé, et que n’importe qui peut se connecter et écouter l’enfant ou ses parents grâce au jouet.
Les consignes pour sécuriser un jouet connecté
Vérifier tout d’abord qu’il n’est pas possible de se connecter à un jouet trop facilement. Le mieux est qu’il y ait un bouton physique sur le jouet pour lancer l’appairage, et qu’un mot de passe soit demandé sur une application au moment de la connexion.
S’il y a un mot de passe ou un code PIN par défaut, alors il faudra le paramétrer pour le personnaliser. Vous devez être le seul à le connaître, exactement comme pour votre carte bleue ou votre boite mail.
Si ce n’est pas déjà fait, alors sécurisez l’accès à votre box internet avec un mot de passe, et également votre smartphone pour le Bluetooth.
Dans le cas d’un compte en ligne spécifique au jouet, sécurisez-le par un mot de passe fort et différent de celui du Bluetooth ou de vos autres comptes.
On appréciera toujours que l’objet possède un voyant qui s’éclaire lorsqu’il est en écoute ou qu’il transmet des informations sur internet. Si le voyant s’illumine alors que vous ne faites rien, c’est sûrement que vos données ne sont pas sécurisées.
Faites un tour sur internet pour vérifier que le jouet en question n’a pas de failles connues et aisément accessibles.
Enfin, effectuez régulièrement les mises à jour de sécurité proposées par le fabricant.
L’inscription et l’application smartphone
Lors de l’inscription sur une application mobile pour un jouet connecté, on ne doit pas vous demander trop d’informations. S’il vous semble que certains données ne sont pas nécessaires pour un jouet de ce type, alors ne les communiquez pas. Généralement, il n’y a aucune obligation, et le jouet fonctionnera aussi bien que vous répondiez ou non au questionnaire.
Utilisez des pseudos et pas les véritables noms de vos enfants, et ouvrez une adresse mail uniquement pour les jouets connectés. N’hésitez pas à mentir s’il le faut. Le fabricant n’a pas besoin de connaître l’âge des enfants, l’adresse du foyer ou le nombre de frères et sœurs.
Enfin, déconnectez le jouet et l’application lorsque vous ne les utilisez pas. Assurez-vous avant de donner des informations, que vous pouvez les supprimer si vous le désirez. Désactivez le partage sur les réseaux sociaux si ce n’est pas indispensable.
Lorsque le jouet ne sera plus utilisé. Effacez toutes vos données sur l’application avant de la supprimer de votre smartphone. Faites de même sur le jouet si vous devez le vendre ou le jeter.
Un jouet connecté réclame donc une vigilance particulière. Les marques les plus sérieuses vont toujours respecter les lois du pays dans lequel elles vendent, mais il est tout de même toujours préférable de bien se renseigner sur le jouet avant de l’utiliser.
