Lorsque Barbie met votre enfant sous écoute

Site Web de L’actualité, 7 décembre 2016
Lorsque Barbie met votre enfant sous écoute
Faut-il faire une place sous le sapin aux jouets intelligents? Que vos petits aient été sages ou pas en
2016, voici quelques points pour alimenter votre réflexion.
Par Geneviève Lajeunesse
Barbie a exercé toutes les professions au fil des années. Elle ajoute désormais espionne à son
curriculum vitæ!
De plus en plus de jouets se connectent à Internet pour offrir des expériences «augmentées» aux
enfants, mais ce faisant, ils ouvrent des brèches dans la protection de la vie privée des petits… et de
leurs parents. Car aussi éducatifs soient-ils, ces jouets font pour la plupart figure de cancres en
matière de sécurité.
La poupée Hello Barbie (et sa demeure intelligente, la Maison de rêve de Barbie), par exemple,
écoute les commandes vocales de l’enfant et, au fil des conversations, personnalise ses réponses.
Pour y parvenir, Barbie transmet chacune des phrases de son interlocuteur à un serveur aux ÉtatsUnis, où elles sont analysées afin de fournir une réponse appropriée. Le serveur garde en mémoire
toute cette information, puisqu’il en a besoin pour «augmenter» l’expérience.
Même chose pour Dino, un jouet intelligent qui a lui aussi réponse à toutes les questions des enfants.
Sous sa coquille verte rondelette, il traite l’information sonore de façon à ce que la réponse soit
adaptée à l’âge de l’enfant et à ses précédentes «conversations» — le tout réalisé par Watson, la
plateforme d’intelligence artificielle d’IBM. C’est ainsi qu’un petit de six ans ne recevra pas
exactement les mêmes réponses à ses questions qu’un jeune de neuf ans.
Cette modulation selon l’âge peut sembler rassurante à première vue. Après tout, elle témoigne d’un
souci d’adapter le jouet à son propriétaire. Cependant, cela soulève des questions par rapport au
partage des données avec des tiers. Plus les données sont manipulées, plus les risques de failles dans
les processus de sécurisation sont grands. Tant dans le cas de Barbie que de Dino, les fabricants
assurent que les données ne sont en aucun cas utilisées pour offrir des services commerciaux à
l’enfant (ce qui serait par ailleurs illégal au Canada). Les réponses de certaines poupées intelligentes
font toutefois sourciller. Ainsi, Mon amie Cayla, pionnière des poupées intelligentes, informe les
enfants que chez ToysRUs, on vend des jouets et des choses amusantes!
On trouve par ailleurs sur le marché de nombreuses tablettes destinées aux petits, offertes à bon
prix. Adaptées à l’enfant, elles sont aussi éducatives et durables, se vantent les fabricants. Mais
comme les autres jouets intelligents, ces tablettes communiquent avec Internet sans chiffrement, et
donc avec votre ordinateur ou votre téléphone intelligent.
Cette communication se fera lors des mises à jour automatiques, essentielles pour que le fabricant
puisse corriger les vulnérabilités de son produit lorsqu’elles apparaissent. La communication ne sera
pas sécurisée, et donc susceptible d’être interceptée. Un pirate informatique pourrait facilement se
faire passer pour le fabricant et envoyer au jouet du code malicieux, ce qui lui permettrait, par
exemple, de prendre les commandes du jouet pour en modifier le comportement, ou encore
espionner votre demeure et communiquer directement avec votre enfant.
Il ne s’agit pas de simples risques théoriques. En novembre 2015, un pirate s’attaquant à la société
VTech s’est infiltré dans des millions de comptes créés sur sa plateforme, 6,3 millions appartenant à
des enfants et 4,8 millions à des adultes. Parmi les informations volées se trouvent les nom, sexe et
date de naissance des enfants, et un peu de tout dans le cas des parents — de l’adresse postale à la
réponse aux questions de sécurité du compte en passant par des conversations. Sans compter
quelque 190 Gb de photos échangées entre l’enfant et le parent par le truchement de la plateforme
de VTech — en majorité des égoportraits pris par les tout-petits. Imaginez les risques de vols
d’identité et de leurres de mineurs.
En réponse à cet incident, VTech a publié une simple mise à jour de son contrat d’utilisation, pour
mentionner que toute donnée passant par ses serveurs peut être interceptée, et que l’entreprise
n’en est pas responsable.
Toute déplorable que soit cette réaction, elle est dans l’air du temps — les failles se multiplient, sans
signe que la sécurité s’améliore vraiment de manière générale. Tout n’est pas noir cependant, et
certains fabricants sont plus proactifs en matière de sécurité.
Comment vous y retrouver en tant que consommateur et parent? Sécuriser un objet intelligent
entraîne des coûts, alors gardez en tête que si le prix du jouet semble trop beau pour être vrai, soit la
sécurité a été escamotée, soit le modèle d’affaires du fabricant implique une certaine utilisation de
vos données.
En passant, de quand date votre dernière mise à jour du microgiciel de votre imprimante? Il est
important de le conserver à jour. Et il en va de même pour les jouets.
Mon conseil final: choisissez des jouets avec lesquels vous prendrez plaisir à jouer avec votre enfant.
Ces moments passés ensemble feront plus pour la valeur éducative du jouet qu’aucune intelligence
artificielle, et ces souvenirs dureront toute une vie.
Quelques conseils pour ceux qui choisiront des jouets connectés
1. Utilisez vos informations personnelles avec grande parcimonie. Ne fournissez que les
informations requises pour traiter avec les entreprises, ne divulguez pas, autant que possible,
les informations personnelles des enfants, y compris leurs nom et date de naissance, sur des
plateformes en ligne.
2. Évaluez la sécurité offerte par le produit avec le même soin que vous évaluez sa durabilité.
Les communications entre le jouet et Internet sont-elles cryptées? L’entreprise a-t-elle déjà
été victime de brèches de sécurité et, si oui, a-t-elle réagi rapidement, adéquatement et avec
transparence?
3. Réfléchissez à votre tolérance au risque avant de brancher un tel jouet. Quels sont les
mécanismes prévus par l’entreprise en cas de brèche informatique? Le fabricant déclare-t-il
protéger par cryptage les données générées par le jouet? Son utilisation est-elle sécurisée,
par exemple par un mot de passe au compte du parent? Vos données délicates sont-elles
cryptées? Avez-vous des copies de sauvegarde de vos données?
(Geneviève Lajeunesse est analyste à Crypto.Québec et animatrice du podcast Les Chiens de garde)