Le jouet IA Bondu a exposé les conversations de 50 000 enfants

Génération NT / Actualités / Le jouet IA Bondu a exposé les conversations de 50 000 enfants

Publié le 31 janvier 2026 à 16:10 par Mathieu M.

L'entreprise Bondu a laissé son portail web sans protection, exposant plus de 50 000 transcriptions de conversations entre des enfants et leurs jouets IA. Noms, dates de naissance et détails intimes étaient accessibles avec un simple compte Gmail. Une faille qui soulève des questions critiques sur la sécurité des données collectées auprès des plus jeunes et la confiance accordée à ces nouveaux compagnons numériques.

Une simple connexion Gmail suffisait pour accéder aux pensées les plus intimes de milliers d'enfants. C'est la découverte choquante faite par les chercheurs en sécurité Joseph Thacker et Joel Margolis. La start-up Bondu, créatrice de dinosaures en peluche dotés d'une intelligence artificielle, a laissé son système de gestion grand ouvert, transformant un compagnon de jeu en un véritable cauchemar pour la vie privée.

L'ampleur de la fuite est colossale et met en lumière une négligence aux conséquences potentiellement dévastatrices.

Comment une simple connexion a-t-elle pu tout exposer ?

Le problème ne venait pas d'un piratage sophistiqué, mais d'une absence quasi totale de barrière à l'entrée. Les chercheurs n'ont eu qu'à se connecter au portail web de l'entreprise avec un compte Google standard pour obtenir un accès administrateur. Ils se sont immédiatement retrouvés face à des dizaines de milliers de transcriptions détaillées des échanges entre les enfants et leurs peluches.

La faille a exposé les noms complets des enfants, leurs dates de naissance, des détails sur leur famille et même les "objectifs" éducatifs fixés par les parents. Bien que Bondu ait réagi vite, coupant l'accès en quelques minutes, le mal était fait. Cet incident illustre les risques systémiques des jouets IA, où la collecte massive de données n'est pas toujours accompagnée des mesures de protection les plus élémentaires.

Quelles données étaient précisément collectées ?

Au-delà des simples discussions, le système de Bondu créait de véritables profils psychologiques des enfants. L'historique complet des conversations était méticuleusement conservé afin de "personnaliser" et d'affiner les futures interactions du jouet. Cette pratique transforme chaque appareil en une mine d'informations comportementales d'une valeur inestimable, mais aussi d'une dangerosité extrême.

Le plus inquiétant est que les jouets fonctionnaient avec les modèles Gemini de Google et GPT d'OpenAI. Cela signifie que les dialogues des enfants étaient potentiellement transmis à des géants de la tech pour être traités, soulevant des questions majeures sur la souveraineté et la confidentialité de ces informations ultra-sensibles.

Pourquoi cette fuite est-elle si dangereuse pour les enfants ?

L'un des chercheurs a qualifié cette masse de données de "rêve pour un kidnappeur". Et le terme n'est pas trop fort. Les informations exposées, allant des goûts personnels aux dynamiques familiales, auraient pu permettre à une personne malveillante de créer un lien de confiance artificiel avec un enfant pour le manipuler ou le mettre en danger. La protection des données enfants est un enjeu critique.

Ces profils détaillés pourraient également être exploités à des fins de ciblage publicitaire ou de manipulation comportementale à long terme. L'exposition ne concerne pas seulement le présent, mais aussi l'avenir numérique de ces enfants, dont l'intimité a été compromise avant même qu'ils n'en aient conscience.

La sécurité est-elle le vrai point noir de cette industrie ?

Cet incident révèle une déconnexion majeure et préoccupante dans l'industrie. Les fabricants comme Bondu semblent se concentrer sur la "sûreté" de l'IA, c'est-à-dire s'assurer que le jouet ne tienne pas de propos inappropriés. Ils ont même mis en place un programme de récompense pour cela. Cependant, ils négligent la sécurité informatique de base : protéger le conteneur de ces données.

La question de la confiance est désormais centrale. Les parents achètent ces produits en supposant une protection robuste des informations partagées par leurs enfants. La faille de Bondu prouve que cette confiance est souvent mal placée, laissant les familles face à un dilemme : priver leurs enfants d'une technologie innovante ou accepter un risque de confidentialité devenu inacceptable.

Foire Aux Questions (FAQ)

Qui a découvert la faille de sécurité de Bondu ?

La vulnérabilité a été identifiée et signalée par les chercheurs en sécurité Joseph Thacker et Joel Margolis, qui ont pu accéder à l'ensemble des données avec un simple compte Gmail.

Quelle a été la réaction de l'entreprise Bondu ?

Selon les chercheurs, Bondu a agi très rapidement. L'entreprise a mis le portail administrateur hors ligne en quelques minutes seulement après avoir été contactée, puis a corrigé la faille le lendemain avant de le réactiver.

Les données des enfants ont-elles été volées par des acteurs malveillants ?

Bondu affirme avoir mené une enquête sur les journaux d'accès et n'a trouvé aucune preuve d'accès non autorisé en dehors de celui des chercheurs qui ont signalé la faille de manière responsable.

Mathieu M.

Journaliste GNT spécialisé imprimantes 3D et nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire