Écoutés jusque dans la salle de jeux : pourquoi il faut se méfier des Barbies et autres robots intelligents

Atlantico : La firme Mattel compte sortir prochainement la poupée "Hello Barbie" qui peut discuter avec les enfants (via un système proche de Siri), collectant ainsi des données les concernant. Concrètement, comment fonctionne ce système ? Quel est la nature du dialogue entre l'enfant et son jouet, ou plutôt ce qui se cache derrière son jouet ? 

Jérôme Durel : Le systèmemarche exactement comme le Siri de Google. On a un micro qui va enregistrer une phrase et l'envoyer à un serveur. Un algorithme va l'analyser, et le serveur va renvoyer une autre phrase en principe cohérente avec la première. Dans le cadre de Barbie, ToyTalk qui gère l'analyse vocale prétend que tout se fera de manière chiffrée. A priori, on peut leur faire confiance car Mattel et Barbie ont une image à défendre, et ils ont passé toutes les étapes de validation pour la mise sur le marché aux Etats-Unis. Il y a peut de doutes qu'ils mentent.

Quelles sont les données à collecter sortant de la bouche d'un enfant plutôt que de ses parents, notamment de la part d'un constructeur plus "indélicat" que Mattel ? 

Un enfant à tendance à prononcer ses souhaits, typiquement en parlant à sa poupée en lui exprimant ses désirs de cadeau pour le prochain Noël ou son prochain anniversaire. Le serveur n'a plus qu'à récupérer ce message, surtout s'il contient une marque, pour la transmettre ensuite à des publicitaires. C'est un système qui fonctionne très bien. On peut imaginer des choses plus complexes, avec l'enregistrement de données confidentielles échangées par les parents discutant à proximité de l'enfant jouant. Mais cela me semble plus improbable : la donnée ne serait pas sûre (qui prouve que ce sont bien les parents qui parlent ?), et il faudrait en outre d'importants moyens hulmains pour traiter toutes ces données.

Existe-t-il des protections légales, du moins en France, qui permet de garantir que les données collectées soient peu intrusives, ou qu'elles soient détruites après une certaine durée ? 

Au niveau français, la CNIL est un organisme qui fait relativement bien son travail, dans le cadre plus général d'un droit européen assez strict. Il y a donc des obligations d'afficher la collecte des données, et de que l'entreprise compte en faire. Et il y a bien sûr un contrôle a priori avant que le produit sorte. Et je doute fort que ces protections vont se détendre, surtout en ce moment.

Peut-on imaginer que ces jouets soient piratables ? Les entreprises comme Mattel peuvent-elles garantir une sécurité de leurs jouets et des données qui y transiteraient ? 

Les données, au moins dans le cadre de Mattel et de ToyTalk, sont chiffrées. En théorie, on peut très bien imaginer que quelqu'un puisse récuprér les données, et se dote de la clé de chiffrage pour décrypter les données. Aucun système n'est infaillible. Dans les faits, d'un point de vue pratique, je vois mal l'intérêt d'un pirate de récupérer le fichier chiffré d'une poupée d'enfant pour essayer ensuite de le déchiffrer... Il aura plus vite fait de pirater une carte bleue... Après bien sûr, un jouet plus bas de gamme qui serait aussi connecté pourrait n'apporter aucune garantie quant au chiffrage des données.

Hormis en évitant d'acheter ce type de jouets bien entendu, existe-t-il des moyens de se prémunir d'une collecte de données intempestives via ce type de jouets ? 

Pour le quidam, cela sera compliqué. On peut sécuriser son réseau wifi avec une vraie clé de chiffrage et pas une simple clé WAP. En théorie, en informatique, on peut tout faire. Mais dans un contexte pratique, il ne faut pas imaginer pouvoir aller plus loin que ce niveau de protection pour une simple poupée.