Barbie a exercé toutes les professions au fil des années. Elle ajoute désormais espionne à son curriculum vitæ!
De plus en plus de jouets se connectent à Internet pour offrir des expériences «augmentées» aux enfants, mais ce faisant, ils ouvrent des brèches dans la protection de la vie privée des petits… et de leurs parents. Car aussi éducatifs soient-ils, ces jouets font pour la plupart figure de cancres en matière de sécurité.
La poupée Hello Barbie (et sa demeure intelligente, la Maison de rêve de Barbie), par exemple, écoute les commandes vocales de l’enfant et, au fil des conversations, personnalise ses réponses. Pour y parvenir, Barbie transmet chacune des phrases de son interlocuteur à un serveur aux États-Unis, où elles sont analysées afin de fournir une réponse appropriée. Le serveur garde en mémoire toute cette information, puisqu’il en a besoin pour «augmenter» l’expérience.
Même chose pour Dino, un jouet intelligent qui a lui aussi réponse à toutes les questions des enfants. Sous sa coquille verte rondelette, il traite l’information sonore de façon à ce que la réponse soit adaptée à l’âge de l’enfant et à ses précédentes «conversations» — le tout réalisé par Watson, la plateforme d’intelligence artificielle d’IBM. C’est ainsi qu’un petit de six ans ne recevra pas exactement les mêmes réponses à ses questions qu’un jeune de neuf ans.
À lire aussi:
Une rançon pour vos photos?
Cette modulation selon l’âge peut sembler rassurante à première vue. Après tout, elle témoigne d’un souci d’adapter le jouet à son propriétaire. Cependant, cela soulève des questions par rapport au partage des données avec des tiers. Plus les données sont manipulées, plus les risques de failles dans les processus de sécurisation sont grands. Tant dans le cas de Barbie que de Dino, les fabricants assurent que les données ne sont en aucun cas utilisées pour offrir des services commerciaux à l’enfant (ce qui serait par ailleurs illégal au Canada). Les réponses de certaines poupées intelligentes font toutefois sourciller. Ainsi, Mon amie Cayla, pionnière des poupées intelligentes, informe les enfants que chez ToysRUs, on vend des jouets et des choses amusantes!
On trouve par ailleurs sur le marché de nombreuses tablettes destinées aux petits, offertes à bon prix. Adaptées à l’enfant, elles sont aussi éducatives et durables, se vantent les fabricants. Mais comme les autres jouets intelligents, ces tablettes communiquent avec Internet sans chiffrement, et donc avec votre ordinateur ou votre téléphone intelligent.
Cette communication se fera lors des mises à jour automatiques, essentielles pour que le fabricant puisse corriger les vulnérabilités de son produit lorsqu’elles apparaissent. La communication ne sera pas sécurisée, et donc susceptible d’être interceptée. Un pirate informatique pourrait facilement se faire passer pour le fabricant et envoyer au jouet du code malicieux, ce qui lui permettrait, par exemple, de prendre les commandes du jouet pour en modifier le comportement, ou encore espionner votre demeure et communiquer directement avec votre enfant.
Il ne s’agit pas de simples risques théoriques. En novembre 2015, un pirate s’attaquant à la société VTech s’est infiltré dans des millions de comptes créés sur sa plateforme, 6,3 millions appartenant à des enfants et 4,8 millions à des adultes. Parmi les informations volées se trouvent les nom, sexe et date de naissance des enfants, et un peu de tout dans le cas des parents — de l’adresse postale à la réponse aux questions de sécurité du compte en passant par des conversations. Sans compter quelque 190 Gb de photos échangées entre l’enfant et le parent par le truchement de la plateforme de VTech — en majorité des égoportraits pris par les tout-petits. Imaginez les risques de vols d’identité et de leurres de mineurs.
En réponse à cet incident, VTech a publié une simple mise à jour de son contrat d’utilisation, pour mentionner que toute donnée passant par ses serveurs peut être interceptée, et que l’entreprise n’en est pas responsable.
Toute déplorable que soit cette réaction, elle est dans l’air du temps — les failles se multiplient, sans signe que la sécurité s’améliore vraiment de manière générale. Tout n’est pas noir cependant, et certains fabricants sont plus proactifs en matière de sécurité.
Comment vous y retrouver en tant que consommateur et parent? Sécuriser un objet intelligent entraîne des coûts, alors gardez en tête que si le prix du jouet semble trop beau pour être vrai, soit la sécurité a été escamotée, soit le modèle d’affaires du fabricant implique une certaine utilisation de vos données.
En passant, de quand date votre dernière mise à jour du microgiciel de votre imprimante? Il est important de le conserver à jour. Et il en va de même pour les jouets.
Mon conseil final: choisissez des jouets avec lesquels vous prendrez plaisir à jouer avec votre enfant. Ces moments passés ensemble feront plus pour la valeur éducative du jouet qu’aucune intelligence artificielle, et ces souvenirs dureront toute une vie.
Quelques conseils pour ceux qui choisiront des jouets connectés
- Utilisez vos informations personnelles avec grande parcimonie. Ne fournissez que les informations requises pour traiter avec les entreprises, ne divulguez pas, autant que possible, les informations personnelles des enfants, y compris leurs nom et date de naissance, sur des plateformes en ligne.
- Évaluez la sécurité offerte par le produit avec le même soin que vous évaluez sa durabilité. Les communications entre le jouet et Internet sont-elles cryptées? L’entreprise a-t-elle déjà été victime de brèches de sécurité et, si oui, a-t-elle réagi rapidement, adéquatement et avec transparence?
- Réfléchissez à votre tolérance au risque avant de brancher un tel jouet. Quels sont les mécanismes prévus par l’entreprise en cas de brèche informatique? Le fabricant déclare-t-il protéger par cryptage les données générées par le jouet? Son utilisation est-elle sécurisée, par exemple par un mot de passe au compte du parent? Vos données délicates sont-elles cryptées? Avez-vous des copies de sauvegarde de vos données?
**
Geneviève Lajeunesse est analyste à Crypto.Québec et animatrice du podcast Les Chiens de garde.
