Les Barbies connectées arrivent !

On le sait, les objets connectés collectent et transmettent de nombreuses informations sur leurs propriétaires. Un frigo pourra bientôt dire ce que vous mangez et à quelle fréquence. Les objets portables type « coachs électroniques » mesurent votre sommeil, votre fréquence cardiaque lorsque vous courez, le nombre de vos pas etc. Les compteurs Linky savent quand vous prenez une douche, quand vous allumez votre télé ou votre chauffage.
Une nouvelle catégorie vient de faire son apparition : les jouets pour enfants. Le fabricant Mattel, qui depuis trois ans a vu chuter les ventes de ses poupées Barbie, a décidé d’être le premier à commercialiser une poupée connectée, la « Hello Barbie ». Une poupée « intelligente » qui ne se contente plus d’égréner rires, pleurs et quelques mots quand on appuie sur son ventre, mais capable d’avoir une « vraie » conversation. Dotée d’une micro et d’un ampli et connectée à Internet par Wifi, elle enregistre ce que lui dit l’enfant et transmet le message au serveur de ToyTalk, société partenaire de Mattel spécialisée dans la reconnaissance vocale. Les messages sont stockés dans le Cloud et analysés en temps réel par des programmes d’intelligence artificielle pour composer une réponse adéquate et la renvoyer.

Premier hic, les parents ouvrent un compte chez Mattel et autorisent la mise en oeuvre du dispositif. Les échanges étant enregistrés, il leur suffit de se connecter sur ce compte pour vérifier que les réponses soient correctes mais aussi savoir tout ce que racontent leurs enfants et le cas échéant supprimer certains propos. L’intimité de l’enfant avec un jouet auquel il peut confier ses petits ou gros secrets est donc fortement compromise.

La seconde inquiétude est que Mattel inclut dans les réponses une forme de publicité. A l’annonce de la mise en vente de Hello Barbie aux Etats Unis en décembre, le CCFC ( Campaign for a Commercial-Free Childhood ), une organisation qui s’oppose à la publicité ciblée sur les enfants, a immédiatement lancé une campagne pour dissuader les parents de l’acheter. Mattel jure que les données conservées ne seront « jamais utilisées à des fins publicitaires », et qu’elle-même n’y aura accès que pour améliorer la qualité des scénarios de réponse. Ce qui ne rassure pas vraiment. A terme, en anonymisant les messages, Mattel pourrait, sous ce prétexte, se lancer dans des traitements prédictifs massifs et calibrer des réponses plus « subliminales ». Questionné par les médias, le marchand de jouet affirme que seul les parents et les programmes deToyTalk ont accès aux données. Pourtant dans une FAQ trouvée sur son site il est dit que « dans certaines occasion, un humain peut passer en revue les conversations » et que si il trouve des propos touchant à la sécurité de l’enfant, « nous collaborerons avec les services de police ».

La société BlueBox Security s’est penchée sur la sécurisation de ces données pour le moins sensibles. Ses experts ont trouvé une faille non corrigée dans le serveur de ToyTalk, des mots de passe identiques pour tous les utilisateurs des applications iOS et Android, et le fait qu’elles se connectent à tout réseau Wifi contenant le mot « Barbie ». Qu’un géant du jouet investisse aussi peu dans la sécurité des données des enfants n’incite pas vraiment à lui faire confiance.