Nounours piratés

mme c'est trognon : des lapins et des ours en peluche connectés, qui permettent aux parents d'envoyer un message vocal à leur enfant qui le reçoit via son jouet, et peut répondre à papa ou maman, ou tout autre proche. Charmante idée en apparence, sauf que, dans le cas des doudous du californien CloudPets, il y avait une faille de sécurité, révèle un spécialiste en sécurité informatique, Troy Hunt.

Résultat, plus de 820 000 comptes utilisateurs étaient exposés, ainsi que 2,2 millions de messages audio enregistrés dont l'URL (l'adresse web du fichier) était facile à retrouver.

Troy Hunt explique que les gens « ne pensaient pas au fait que quand vous vous connectez à l'ours en peluche, la voix de vos enfants se trouve dans un serveur d'Amazon ». Les jouets de CloudPets sont reliés à des applis mobiles ; l'utilisateur crée un compte chez CloudPets en donnant le nom de son enfant, une adresse e-mail et une photo. Il peut ensuite envoyer ou recevoir des messages par le truchement du joujou.

Voici la vidéo publicitaire de ces jouets :

Vous aimez cet article ?Inscrivez-vous à la Newsletter de l'Obs
×
S'inscrire

CloudPets, qui a lancé ses jouets connectés (chat, chien, lapin et ours en peluche) en 2015, héberge ses données en ligne, mais cette base de données n'était pas protégée. Hunt a expliqué à CNN que c'est du même ordre qu'avoir un smartphone non verrouillé par un code. Cette base de données était indexée par Shodan, un moteur de recherche d'objets connectés à Internet – qui peut servir à détecter des dispositifs mal sécurisés, comme des caméras, ce que Rue89 a fait en 2014.

L'entreprise n'a rien dit à ses utilisateurs

Selon Hunt, quelqu'un a volé les données du service de CloudPets, puis les a effacées et a demandé à l'entreprise une rançon, en bitcoins. Au lieu de payer les malfaiteurs pour récupérer ces données, CloudPets les a restaurées avec une sauvegarde antérieure. Cependant, la compagnie n'a pas prévenu ses utilisateurs de la fuite (des témoignages rapportés par Hunt montrent même que plusieurs messages d'alerte de clients ont été ignorés pendant des jours), et les mots de passe dérobés sont toujours valides, ont constaté les chercheurs.

CNN relève que cela pourrait être un délit : la loi californienne oblige les entreprises à signaler aux utilisateurs si leurs informations ont été exposées en ligne, et CloudPets et son fabricant Spiral Toys se trouvent en Californie.

Le site Motherboard, alerté par les chercheurs en sécurité, souligne qu'en janvier la base de données en ligne de CloudPets a été effacée au moins deux fois, et que des pirates y ont accédé à plusieurs reprises.

Ce n'est pas le premier piratage de jouets connectés : fin 2015, Troy Hunt avait découvert une faille dans des gadgets Vtech, exposant les données de millions de parents et d'enfants.

Poupées interdites en Allemagne

Il y a quelques jours, l'Allemagne a interdit la vente des poupées Cayla en raison de leur facilité à être piratées, et recommandé aux parents en ayant déjà acheté de les jeter – le distributeur a assuré qu'en suivant le mode d'emploi elle ne permettait pas l'espionnage, et déclaré qu'il irait en justice contre cette décision du régulateur des télécoms.

Peu avant Noël, l'UFC Que Choisir avait alerté contre les lacunes en sécurité et en protection des données de deux jouets, la poupée Cayla et le robot i-Que. L'association de défense des consommateurs a saisi la CNIL (Commission nationale de l'informatique et des libertés) et la DGCCRF.

Motherboard note qu'en attendant que les concepteurs et fabricants d'objets dits « intelligents » de « l'Internet des objets » se décident à en améliorer la sécurité, « si vous êtes un parent qui ne voulez pas que vos messages affectueux à vos enfants soient divulgués en ligne, vous pourriez vouloir un bon vieux nounours à l'ancienne, qui ne soit pas relié à un serveur à distance non sécurisé ». La CNIL a publié en novembre un rappel sur la sécurité des objets connectés.