Par Bertrand Venrad, Professeur à Audencia Business School
Regarder des enfants en extase devant de nouveaux jouets génère toujours chez les adultes amusement et joie. Mais, quand un enfant apeuré se retourne vers eux en disant : « il y a un Monsieur qui rigole dans mon ours ! », la joie fait place à l’horreur. En effet, la multiplication des jouets connectés a augmenté les risques de sécurité pour nos chérubins. Quels sont les risques potentiels pour les victimes?
Dans la panoplie des jouets potentiels à offrir aux enfants, un choix s’impose pour beaucoup de parents modernes : un jouet connecté. L’idée est de donner un cadeau unique qui pourra développer une relation spécifique avec l’enfant, interagir avec lui, peut-être même développer son intelligence. Si le présent est offert avec des intentions louables, le cadeau cache aussi de sérieux risques de sécurité.
Des cadeaux modernes mais douteux
L’avantage principal d’un jouet connecté est de permettre une interconnectivité adaptée à chaque enfant. Un jouet connecté va donc chercher à collecter, stocker et analyser des données personnelles pour pouvoir entrer en interaction avec un enfant. Ainsi, la charmante poupée reliée à internet pourra voir, photographier, écouter, converser et même localiser le petit rejeton. L’inconvénient majeur est le risque de se faire voler les informations confidentielles.
En effet, avec l’engouement pour les jouets connectés, des doutes se sont posés sur leurs sécurité. La crainte est devenue grandissante à mesure que l’on découvrait des vulnérabilités comme pour la poupée Mon amie Cayla, la montre Q50, le droïde BB-8, le robot I.Que Intelligence, le dinosaure Green Dino, le chien Wowwee Chip ou l’ours Teddy Toy-Ti. Par exemple, en 2015, la poupée Hello Barbie fut lancée par Mattel avec comme argument commercial sa capacité de parler et d’écouter les enfants. Le succès semblait au rendez-vous pour le fabricant américain, jusqu’à ce que l’on découvre la capacité de transformer la poupée en parfait outil d’espionnage. Les Allemands finirent par surnommer le jouet « Barbie Stasi », en référence à la sordide police politique communiste.
Un cocktail explosif : des jouets peu sécurisés avec des fabricants vulnérables
Si les jouets connectés sont vulnérables, leurs fabricants montrent aussi de sérieuses failles de sécurité. En 2015, un pirate a réussi à hacker les bases de données du fabricant chinois VTech et à récupérer des informations sur 4,8 millions de parents acheteurs de ses produits dans le monde. Autre exemple : en mars, 2017, la société américaine Spiral Toys produisant des Cloud Pets a laissé s’échapper sur internet 2 millions de messages, des emails et des mots de passe. Certains parents ont alors été victimes de chantage.
Ces failles de sécurité sont presque structurelles dans la mesure où elles sont générées par le modèle d’affaire des fabricants et leur environnement concurrentiel. D’une part, les industriels développent des jouets connectés qui récupèrent le maximum d’information par le biais d’une kyrielle de capteurs, par exemple pour écouter un enfant et lui parler. D’autre part, le modèle d’affaires des fabricants est de réaliser des profits grâce à la vente des jouets et aussi la vente d’informations personnelles sur les parents et enfants. Il lui faut donc récupérer le maximum de données, même si cela se fait au détriment du respect de la vie privée. De plus, chaque industriel fait face à une concurrence féroce qui implique une pression sur les coûts de production et amène à laisser de côté des investissements en matière de cybersécurité. Enfin, les jouets connectés offrent de nouvelles opportunités de cyberattaques pour les hackers. Par exemple, certains jouets utilisent des connections Bluetooth sans mot de passe ou un mot de passe constructeur par défaut. Ainsi, un hacker peut alors facilement prendre le contrôle d’un jouet et parler à un enfant à l’insu de ses parents.
Le cauchemar des jouets connectés : devenir des outils d’espionnage
Résultat : des parents naïfs achètent de parfaits outils d’espionnage de leurs enfants et incitent même leur progéniture à interagir avec ces jouets merveilleux mais dangereux.
Heureusement, les mises en garde, les plaintes et les interdictions se multiplient. Les associations de consommateurs et les autorités américaines, allemandes, britanniques, ou françaises multiplient les enquêtes et les avertissements. Par exemple, la poupée Cayla a été interdite en 2017 en Allemagne car considérée comme un équipement d’espionnage illégal.
Face à ces risques importants, les adultes toujours férocement attirés par un jouet connecté devront veiller à avoir une procédure de communication sécurisée, utiliser un mot de passe complexe et surveiller les données personnelles transmises. Pour les parents horrifiés à l’idée d’entendre leur enfant s’écrier « Maman ! Un Monsieur parle dans ma poupée ! », il reste à choisir un présent plus traditionnel mais moins douteux.
