Pourquoi la poupée My Friend Cayla connectée à Internet a-t-elle été interdite en tant que «dispositif d'espionnage caché»?

Selon CNET , la poupée My Friend Cayla a été interdite en Allemagne car elle a été classée comme un "dispositif d'espionnage caché" illégal:

Si vous envisagez d'acheter un jouet connecté pour votre progéniture, vous voudrez peut-être y réfléchir à deux fois.

En Allemagne, les régulateurs ont déterminé que la poupée My Friend Cayla ne pouvait pas être bonne, étant donné son potentiel à voler des informations sur les enfants qui jouent avec. Et ils disent que les parents allemands dont les enfants sont en possession d'une poupée Cayla devraient détruire le jouet.

La Federal Network Agency a déclaré dans un communiqué de presse vendredi qu'elle avait retiré les poupées Cayla du marché allemand et qu'elle ne chercherait pas à poursuivre les parents qui en auraient acheté une. Il s'attend toutefois à ce que les parents qui ont acheté une poupée assument la responsabilité de la détruire.

Les poupées Cayla, qui intègrent des microphones et posent des questions aux enfants sur elles-mêmes et leurs parents, sont classées comme "dispositifs d'espionnage cachés", dont la possession et la vente sont interdites par la loi allemande.

J'ai fait un peu de recherche sur le jouet auparavant quand quelqu'un a posé des questions sur le jouet, et bien qu'il semble légèrement inapproprié d'envoyer le discours de vos enfants à un serveur cloud, il n'est pas exactement caché ; l'appareil est annoncé comme «intelligent» et connecté à Internet.

Y a-t-il d'autres défauts avec la poupée qui l'ont rendue illégale (piratage, peut-être?), Ou a-t-elle été interdite simplement en raison des problèmes de confidentialité de l'envoi de données au fabricant?

Si je comprends bien les problèmes, il y a deux points particuliers dans lesquels la poupée Cayla diffère des jouets autorisés similaires :

• La poupée a une lumière indiquant quand elle envoie - mais qui peut être éteinte à distance (application pour smartphone).

• De plus, le manque de sécurité d'appairage Bluetooth (pas de pression sur un bouton, pas de code PIN) signifie qu'il est plutôt facile pour des tiers de prendre le contrôle de la poupée:

  toute personne dans un rayon de 15 mètres [...] peut se connecter aux jouets tant qu'ils sont allumés et ne sont pas déjà couplés activement avec un autre appareil

  Tiré de: #Toyfail Une analyse des problèmes des consommateurs et de la vie privée dans trois jouets connectés à Internet, décembre 2016, Forbrukerrådet, p. 31

Ensemble, cela signifie qu'un tiers peut coupler son téléphone avec la poupée, éteindre l'indicateur d'envoi et écouter les personnes sans méfiance autour de la poupée. Il ne s'agit donc pas «uniquement» de tiers ignorant les capacités d'envoi, il s'agit d'une capacité d'envoi cachée qui est presque inévitable avec l'appareil utilisé en fonction de son objectif.
La "connaissance de bon sens" (sachant que la poupée a une connectivité Internet et des capacités d'envoi et que sa lumière d'envoi n'est pas allumée) n'est pas suffisante pour assurer la confidentialité ici - à tout le moins, il faudrait connaître ces exploits et prendre des précautions supplémentaires en conséquence .

Le communiqué de presse du Bundesnetzagentur dit:

Ohne Kenntnis der Eltern können die Gespräche des Kindes und anderer Personen aufgenommen und weitergeleitet werden. [...] Weiter kann ein Spielzeug, wenn die Funkverbindung (wie Bluetooth) vom Hersteller nicht ausreichend geschützt wird, von in der Nähe befindlichen Dritten unbemerkt genutzt werden, um Gespräche abzuhören.

traduction approximative:

À l'insu des parents, les conversations de l'enfant et des autres peuvent être enregistrées et envoyées [à Internet / à des tiers]. [...] De plus, si la transmission radio (par exemple Bluetooth) n'est pas correctement sécurisée, le jouet peut être utilisé par des tiers à proximité pour exploiter des conversations non perçues.

ce n'est pas exactement caché; l'appareil est annoncé comme «intelligent» et connecté à Internet.

D'accord, mais si ce n'est pas vous qui l'avez acheté, vous ne savez peut-être pas qu'il enregistre votre discours et l'envoie sur Internet! Achetez-en un et offrez-le à quelqu'un que vous souhaitez espionner; ils penseront que c'est juste une poupée. Par conséquent, c'est vraiment un appareil d'espionnage caché.

Les nouvelles en Allemagne où la loi allemande considère la poupée comme un appareil d'espionnage caché car elle ressemble à un jouet normal sans pièces électroniques pour les personnes qui ne connaissent pas ses fonctions, même si elle est capable d'enregistrer et d'envoyer des données .

Cela relève du «§ 90 Missbrauch von Sendeoder sonstigen Telekommunikationsanlagen» du Telekommunikationsgesetz (TKG) et est donc interdit dans le pays.

Sources:

• http://www.zeit.de/digital/datenschutz/2017-02/my-friend-cayla-puppe-spion-bundesnetzagentur
• https://www.gesetze-im-internet.de/tkg_2004/__90.html

L'un des principaux problèmes de My Friend Cayla est que les fichiers audio qu'il envoie ne sont pas enregistrés en toute sécurité. Ken Munro a effectué une analyse approfondie sur ce sujet (et sur de nombreux autres appareils IoT) et souligne que les fichiers audio sont disponibles sur Internet, avec un mauvais contrôle d'accès!

Donc, non seulement tout ce que dit votre enfant va quelque part sur un serveur, mais les autres peuvent l'écouter ...

(Un conseil - pour la sécurité IoT, suivez Ken Munro. Vous serez surpris de l'accès qu'il obtient non seulement aux appareils IoT, mais aussi à travers eux aux ordinateurs personnels, aux mots de passe et plus encore!)