Si vous avez offert un jouet connecté à votre bambin… soyez vigilant ! On pourrait se croire dans un scénario de science-fiction, avec des poupées possédées et malintentionnées, mais non. Non non, c’est la réalité. Et derrière la poupée, il y a l’humain. Le hacker, précisément. À l’agence de création de sites internet, on a trouvé ceci un peu alarmant alors on s’est penché dessus.
Vol massif de données
Les derniers jouets en date à avoir été incriminés sont les CloudPets. Licorne, petit chien, petit chat ou éléphant mignon ont servi à voler les données personnelles de plus de 820 000 familles. On considère que plus de 2,2 millions d’informations (adresses e-mail, mots de passe, photos de profil et enregistrements) ont été catapultés sur une plateforme facilement accessible pour les pirates du web.
Je m’inscris, je fais confiance
Le principe de base est assez simple. La fameuse peluche permet aux enfants et aux parents d’échanger des messages vocaux via une application sur smartphone. Pour initialiser son jouet, l’utilisateur – le parent, donc – crée un compte en ligne sur le site de la marque Spiral Toys, créatrice des CloudPets. Il donne son nom, une adresse e-mail et une photo. Il renseigne également le nom, la date de naissance de sa chère tête blonde et lui attribue une photo. Jusqu’ici, on suit.
Là où on comprend moins, c’est lorsqu’on apprend que toutes ces infos, messages vocaux inclus, ont été stockées sur une base de données (MongoDB) accessible en ligne, sans authentification. En gros, pour le pirate de la Toile, il suffisait de cliquer sur l’URL conduisant aux données d’une peluche et de craquer son mot de passe pour avoir accès à tout.
Et craquer un mot de passe, pas très compliqué, surtout lorsque l’entreprise préconise aux parents d’utiliser le sésame le plus simple possible (on a écrit là-dessus il y a peu : Précis de sécurisation de ses accès web). Force est de constater que l’entreprise et les parents en question vivent tous chez les Bisounours. On a eu droit à un déferlement de « password », « 123456 », « qwerty » et autres « A » ou juste « CloudPets ».
Belle prévention de la part du constructeur. Ah, on oubliait : la base de données était aussi répertoriée sur Shodan, un moteur de recherche fréquemment utilisé par les hackers pour trouver des objets et services connectés sur internet.
Alertes et extorsion
Cette belle faille a été repérée en décembre par certains utilisateurs, mais la marque a préféré ne pas en faire cas. Spiral Toys a attendu que les pirates menacent les parents de divulguer leurs données en échange d’argent pour renforcer sa sécurité fin janvier. Propre.
On ne sait pas vous, mais nous, aux ours intelligents on préfère les ours bébêtes. En peluche, à l’ancienne. Ceux qui ne font rien de plus que recevoir des câlins et subir les jeux des bambins !
Il est utile de rappeler que les CloudPets ne sont pas les seuls concernés. Globalement, vous pouvez considérer que les jouets connectés ne sont pas assez sécurisés actuellement pour permettre une utilisation sereine. Faites un tour là et là, pour en savoir plus. Attention, vous êtes peut-être déjà espionné…
Parmi les sources : http://www.atlantico.fr/decryptage/jouets-connectes-pourquoi-seriez-bien-inspire-en-tenir-vos-enfants-eloignes-2979239.html http://lexpansion.lexpress.fr/high-tech/piratage-massif-de-mignons-ours-en-peluche-connectes-espionnaient-des-enfants_1884753.html https://motherboard.vice.com/fr/article/le-piratage-dun-ours-en-peluche-connecte-devoile-lintimite-de-milliers-de-familles http://www.zdnet.fr/actualites/ransomware-10000-bases-mongodb-touchees-par-l-epidemie-39846846.htm http://www.lexpress.fr/actualite/monde/europe/menace-pour-la-vie-privee-des-petits-la-poupee-cayla-interdite-en-allemagne_1880505.html http://hightech.bfmtv.com/securite/ces-peluches-connectees-pourraient-permettre-d-espionner-vos-enfants-1112922.html
06 25 21 86 99