Les données personnelles de 800.000 possesseurs de peluches connectées de la marque Spiral Toys contenant notamment 2,2 millions d’enregistrements vocaux échangés entre les parents et leurs enfants étaient accessibles en ligne sans aucune mesure de protection. Les experts qui ont découvert cette faille pensent qu’elle a été exploitée par des pirates pour faire chanter l’entreprise.
Dans la plupart des cas, les jouets de nos enfants répondent à des normes de fabrication strictes censées assurer leur sécurité. C'est assez logiquement que l'on imagine qu'il en va de même pour les données collectées par les jouets connectés qui sont de plus en plus nombreux dans les rayons des magasins. Reliés à des applications et services en ligne, ces poupées, robots et autres peluches recueillent un certain nombre de données personnelles et contenus multimédias (messages vocaux ou vidéo) hébergés sur des serveurs censément sécurisés.
Or,
plusieurs témoignages récents sont venus révéler le peu de cas que
certaines marques de jouets connectés semblent faire de la protection
des données personnelles de leurs clients. Le dernier exemple en date
concerne des peluches connectées de la gamme CloudPets vendues par
Spiral Toys. Selon les découvertes de Troy Hunt, expert en sécurité, et du site Motherboard, les informations contenues dans plus de 800.000 comptes utilisateurs étaient stockées sur une base de données MongoDB, accessible à quiconque, sans mot de passe.
Outre
les adresses de courrier électronique, les mots de passe et autres
informations sensibles, quelque 2,2 millions de messages vocaux échangés
entre les parents et les enfants jouant avec ces peluches étaient
également exposés. Pour trouver cette base de données, il suffisait de
passer par Shodan, un outil prisé des experts en sécurité mais aussi des
cyberpirates. Il s'agit d'un moteur de recherche spécialisé dans les
objets connectés capables d'identifier les serveurs web, les routeurs et les périphériques peu ou pas sécurisés.
Selon
Troy Hunt et Motherboard, la base de données associée aux CloudPets
aurait été dérobée au moins deux fois par des pirates qui auraient
ensuite réclamé une rançon à Spiral Toys. L'entreprise a fini par
confirmer que sa base de données avait bien été exposée sur Internet.
Mais elle a assuré que les messages vocaux n'avaient pas été
« compromis », sans toutefois s'exprimer au sujet d'éventuelles
tentatives de chantage. Une réaction aussi floue que molle qui ne suffira sans doute pas à rassurer les clients...
Outre l’absence de sécurisation des données stockées en ligne par Spiral Toys, un expert en sécurité a par ailleurs démontré avec quelle facilité on pouvait prendre le contrôle d’une peluche connectée CloudPets.
Les CloudPets ne sont pas les seuls jouets connectés mis en cause
D'autant qu'un autre expert en sécurité du nom de Paul Stone cité dans un article de Motherboard,
a démontré que les peluches connectées elles-mêmes sont facilement
piratables. Il suffit de se trouver à une dizaine de mètres avec un smartphone compatible Bluetooth
pour se connecter au jouet à partir duquel on peut envoyer et recevoir
des données. N'importe quel modèle de CloudPet peut être transformé en
mouchard capable d'enregistrer jusqu'à cinq messages de 40 secondes
chacun.
Le
cas de Spiral Toys n'est malheureusement pas isolé. Il y a une
quinzaine de jours, les autorités allemandes avaient émis une alerte à
l'encontre de la poupée connectée My Friend Cayla après l'avoir classée
comme un « dispositif d'espionnage ». L'agence fédérale en charge des
télécommunications a décrété son retrait du marché et invité les parents
ayant acheté le jouet à le détruire. Munie de microphones, Cayla
interagit avec les enfants en leur posant des questions. Des
conversations ont ainsi été enregistrées et sauvegardées sur des
serveurs, sans que le consentement préalable des parents n'ait été
recueilli. Les autorités américaines avaient également dénoncé ce
fonctionnement et des signalements ont été faits en France, Belgique,
Irlande, Pays-Bas et Norvège.
Ajoutons qu'en
2015, une polémique avait éclaté au sujet de la poupée connectée Hello
Barbie suite aux conclusions d'experts sur des failles de sécurité
affectant le produit qui, en Allemagne, fut qualifié de « Barbie
Stasi ». Malgré tout, aussi inquiétants soient-ils, ces exemples ne
présument pas du niveau de sécurité des jouets connectés dans leur
ensemble. Pour autant, cela devrait inciter les consommateurs à la
vigilance quant au fonctionnement de ces produits ainsi que les
conditions de recueil et d'utilisation des données personnelles.
Source : http://www.futura-sciences.com
Source : http://www.futura-sciences.com
Commentaires
Enregistrer un commentaire