La poupée connectée pour enfant « Mon amie Cayla » a la particularité d’interagir avec l’enfant, de répondre à ses questions et de lui raconter des histoires. Sauf qu’une faille de sécurité a été détectée. Cayla se connecte à Internet et aucun mot de passe n’est nécessaire pour la paramétrer, permettant à tout un chacun – qui se situe à moins de 15 mètres – de prendre possession de cette poupée connectée. Cerise sur le gâteau, Cayla profite de ses interactions avec les enfants pour vendre subtilement les produits Disney. Des pirates de poupée aux messages commerciaux subliminaux, c’en est trop ! L’Allemagne a interdit Cayla à la vente et le même sort attend la poupée connectée Hello Barbie (dénommée « Barbie Stasie » dans les médias allemands). Robots et Compagnie fait le point sur l’affaire.

Qu’est-ce qu’une poupée connectée ?

Qu'est-ce qu'une poupée connectée ?« Mon amie Cayla » est une poupée connectée pour enfants qui fonctionne comme tout objet connecté et avec qui il est possible d’interagir vocalement. Cayla est donc équipée d’un microphone, d’un haut-parleur, d’une intelligence artificielle et d’une connexion Internet, ce qui lui permet de comprendre les questions qu’on lui pose, de proposer des réponses adaptées à l’âge de l’enfant qui l’utilise ou encore de raconter de belles histoires. Cayla est aussi contrôlable à distance via une application Smartphone. Bref, cette poupée connectée et intelligente a déjà séduit des milliers de parents dans le monde. Oui, mais voilà, Cayla a une faille de sécurité qui permet à un individu situé à moins de 15 mètres d’en infiltrer son logiciel pour dérober toutes les données personnelles qui s’y trouve (noms, coordonnées, âge…), y compris les enregistrements des conversations entre l’objet connecté et l’enfant.

Un étudiant allemand révèle avoir piraté Cayla ; les pouvoirs publics l’interdisent sur son territoire

Un étudiant allemand révèle avoir piraté Cayla ; les pouvoirs publics l’interdisent sur son territoireL’affaire a été révélée le mois dernier suite au piratage d’une poupée Cayla par un étudiant allemand, qui révélait à la presse avoir trouvé la faille de cet objet connecté en très peu de temps ; aucun mot de passe ne protégeant sa connexion Internet. L’affaire a fait tant de bruit que les pouvoirs publics allemands ont interdit la commercialisation de Cayla sur leur territoire. L’agence fédérale des réseaux a en effet estimé que Cayla « présente un risque que soit enregistré et transféré, à l’insu des parents, une conversation de l’enfant avec une autre personne »… Flippant !

Cayla survend son partenaire commercial Disney auprès des enfants

Et ce n’est pas fini. En 2016 déjà, la poupée connectée Cayla avait l’objet d’une dénonciation de la part du Conseil norvégien des consommateurs qui mentionnait les publicités dissimulées dans son discours. La poupée vantait effectivement un peu trop les mérites des films Disney alors même que le sous-traitant chargé de son logiciel entretient des relations commerciales avec Disney (comme par hasard !).

De « Hello Barbie » à « Barbie Stasie » : une affaire de cryptage

De « Hello Barbie » à « Barbie Stasie » : une affaire de cryptageDans le même esprit, il y a la célèbre Barbie (de la marque Mattel) qui a elle aussi récemment subi un piratage en bonne et due forme. « Hello Barbie », plus exactement, est une poupée connectée avec qui l’enfant peut papoter. Les conversations sont envoyées en temps réel sur les serveurs du fabricant (via fichier audio) pour le renvoi d’une réponse générée automatiquement et diffusée via le micro intégré à Hello Barbie.

L’entreprise Toy Talk, qui assure le service technologique de Mattel, a affirmé sécuriser ses serveurs et crypter les communications entre l’objet connecté et l’enfant, mais un chercheur américain affirme avoir réussi à intégrer le logiciel pour prendre le contrôle de la poupée.

En Allemagne, la presse s’est même amusée à rebaptisé le jouer Hello Barbie « Barbie Stasi » et l’agence fédérale des réseaux (encore elle !) a reproché à Mattel la transmission de fichiers audio des conversations sans l’accord préalable des parents.

Pirates de poupées et messages subliminaux : le danger des jouets connectés

 Tout ceci pour vous rappeler que les risques de piratage et les failles de sécurité ne sont pas l’apanage de nos objets connectés domotiques. Les médias en parlent peut-être moins actuellement, mais les jouets connectés à destination de nos enfants présentent les mêmes risques. Le 17 février dernier, suite aux affaires Cayla et « Barbie Stasie », l’agence des réseaux allemands a tranché : « n’importe quel jouet capable de transmettre des signaux et qui peut être utilisé pour enregistrer des images et du son est interdit en Allemagne. »

Enfin, l’association européenne des consommateurs (BEUC) a attiré l’attention de la Commission européenne concernant les jouets connectés et les risques de dérive quant à l’utilisation des données personnelles. Celles-ci pourraient tout autant servir les marques à des fins commerciales (comme le fait Cayla en promouvant Disney à tour de bras) qu’à des fins d’espionnage. Des poupées qui diffusent des messages subliminaux et des incitations discrètes à consommer ? Souhaitons-nous ce genre de relations entre nos enfants et leurs jouets connectés ?