Alors que les autorités allemandes viennent d'interdire la commercialisation de la poupée connectée "Mon amie Cayla”, car n'importe qui pouvait écouter les personnes autour d’elle via une connexion Bluetooth, un autre événement lié à ce type de jouets a été signalé. en effet que les peluches connectées Cloudpets de la société Spiral Toys viennent de laisser échapper les données personnelles de 821 000 comptes d’utilisateurs. Ces données, adresses e-mails et mots de passe, étaient stockées sur des serveurs non sécurisés. "Cette fuite jette une nouvelle fois le doute sur la capacité des fabricants à sécuriser leurs jouets qui génèrent des bases de données particulièrement sensibles", explique-t-elle.
Bien choisir son mot de passe
Car en plus des adresses mails et des mots de passe, les bases de données concernent directement les enfants : les hackers ont eu accès à plus de 200 000 messages vocaux échangés entre les parents et les enfants. Les peluches permettent en effet aux parents de laisser à leurs enfants des messages, envoyés depuis leur smartphone à la peluche, et les enfants peuvent y répondre en pressant un bouton sur le bras du doudou. "Spiral Toys aurait reçu des demandes de rançon, en monnaie virtuelle Bitcoin, pour reprendre la main sur les données. L’entreprise nie tout en bloc, mais les faits l’accablent", précise UFC-Que Choisir. Surtout qu'il existait un moyen simple pour éviter cette fuite.
La firme pouvait en effet exiger de la part des utilisateurs que ces derniers choisissent des mots de passe complexes, composés de chiffres et de lettres, de minuscules et de majuscules. L'utilisation des jouets connectés n'est donc pas sans risque, car la liste des problèmes de sécurité informatique causés par certains d'entre eux était déjà bien fournie. Outre les peluches Cloudpets et la poupée Cayla, le robot connecté iQue a lui aussi été touché par une faille de sécurité liée à la technologie Bluetooh. Fin 2016, l’UFC-Que Choisir a décidé de saisir la CNIL* et la DGCCRF** "afin qu’elles diligentent des enquêtes sur ces jouets connectés", mais à ce jour l'association attend toujours de leurs nouvelles.
*Commission nationale de l'informatique et des libertés
**Direction générale de la concurrence, de la consommation et de la répression des fraudes