Sale temps pour les jouets connectés

Si vous avez offert un jouet connecté à votre bambin… soyez vigilant ! On pourrait se croire dans un scénario de science-fiction, avec des poupées possédées et malintentionnées, mais non. Non non, c’est la réalité. Et derrière la poupée, il y a l’humain. Le hacker, précisément. À l’agence de création de sites internet, on a trouvé ceci un peu alarmant alors on s’est penché dessus.

Chat en peluche.

https://www.flickr.com/photos/lori-la-tortuga/

Vol massif de données

Les derniers jouets en date à avoir été incriminés sont les CloudPets. Licorne, petit chien, petit chat ou éléphant mignon ont servi à voler les données personnelles de plus de 820 000 familles. On considère que plus de 2,2 millions d’informations (adresses e-mail, mots de passe, photos de profil et enregistrements) ont été catapultés sur une plateforme facilement accessible pour les pirates du web.

Je m’inscris, je fais confiance

Le principe de base est assez simple. La fameuse peluche permet aux enfants et aux parents d’échanger des messages vocaux via une application sur smartphone. Pour initialiser son jouet, l’utilisateur – le parent, donc – crée un compte en ligne sur le site de la marque Spiral Toys, créatrice des CloudPets. Il donne son nom, une adresse e-mail et une photo. Il renseigne également le nom, la date de naissance de sa chère tête blonde et lui attribue une photo. Jusqu’ici, on suit.

Là où on comprend moins, c’est lorsqu’on apprend que toutes ces infos, messages vocaux inclus, ont été stockées sur une base de données (MongoDB) accessible en ligne, sans authentification. En gros, pour le pirate de la Toile, il suffisait de cliquer sur l’URL conduisant aux données d’une peluche et de craquer son mot de passe pour avoir accès à tout.

Et craquer un mot de passe, pas très compliqué, surtout lorsque l’entreprise préconise aux parents d’utiliser le sésame le plus simple possible (on a écrit là-dessus il y a peu : Précis de sécurisation de ses accès web). Force est de constater que l’entreprise et les parents en question vivent tous chez les Bisounours. On a eu droit à un déferlement de « password », « 123456 », « qwerty » et autres « A » ou juste « CloudPets ».

Belle prévention de la part du constructeur. Ah, on oubliait : la base de données était aussi répertoriée sur Shodan, un moteur de recherche fréquemment utilisé par les hackers pour trouver des objets et services connectés sur internet.

Alertes et extorsion

Cette belle faille a été repérée en décembre par certains utilisateurs, mais la marque a préféré ne pas en faire cas. Spiral Toys a attendu que les pirates menacent les parents de divulguer leurs données en échange d’argent pour renforcer sa sécurité fin janvier. Propre.

On ne sait pas vous, mais nous, aux ours intelligents on préfère les ours bébêtes. En peluche, à l’ancienne. Ceux qui ne font rien de plus que recevoir des câlins et subir les jeux des bambins !

Il est utile de rappeler que les CloudPets ne sont pas les seuls concernés. Globalement, vous pouvez considérer que les jouets connectés ne sont pas assez sécurisés actuellement pour permettre une utilisation sereine. Faites un tour et , pour en savoir plus. Attention, vous êtes peut-être déjà espionné…

Parmi les sources :
http://www.atlantico.fr/decryptage/jouets-connectes-pourquoi-seriez-bien-inspire-en-tenir-vos-enfants-eloignes-2979239.html
http://lexpansion.lexpress.fr/high-tech/piratage-massif-de-mignons-ours-en-peluche-connectes-espionnaient-des-enfants_1884753.html
https://motherboard.vice.com/fr/article/le-piratage-dun-ours-en-peluche-connecte-devoile-lintimite-de-milliers-de-familles
http://www.zdnet.fr/actualites/ransomware-10000-bases-mongodb-touchees-par-l-epidemie-39846846.htm
http://www.lexpress.fr/actualite/monde/europe/menace-pour-la-vie-privee-des-petits-la-poupee-cayla-interdite-en-allemagne_1880505.html
http://hightech.bfmtv.com/securite/ces-peluches-connectees-pourraient-permettre-d-espionner-vos-enfants-1112922.html

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Protected by WP Anti Spam