La poupée Cayla ressemble à de nombreux jouets électroniques modernes : elle peut se connecter en Bluetooth à un smartphone pour bénéficier de fonctions supplémentaires via une application dédiée. Oui mais voilà, la société Vivid Toy, qui distribue la poupée Cayla, n’a pas suffisamment sécurisé la connexion Bluetooth et des chercheurs en sécurité ont réussi à hacker à distance la petite poupée pour lui faire dire des choses…peu recommandables. Dans un premier temps, Vivid Toy a reconnu le soucis et indiqué avoir corrigé la faille, mais les chercheurs se sont rendus compte que celle-ci était toujours effective, un constat qui a débouché sur plusieurs plaintes en Europe et aux Etats-Unis.
En Allemagne, la Federal Network Agency conseille même aux parents de se débarrasser de la poupée au plus vite, après qu’un nouveau hack ait démontré qu’un inconnu pouvait parler directement à l’enfant par le biais de sa poupée Cayla; les chercheurs ont aussi démonté que jusqu’à 10 mètres de distance, et même à travers plusieurs murs, un appareil de transmission Bluetooth pouvait se connecter sans difficulté à la poupée, soit pour diffuser des sons, soit pour espionner l’enfant via le micro intégré au jouet.
La poupée Cayla n’en a peut-être pas pour longtemps en Europe : à la suite des différentes plaintes (toujours en cours), la Commission européenne vient de lancer sa propre enquête afin de déterminer si la poupée contrevenait aux règles de l’UE sur la sécurité des données privées numériques.
