Nounours piratés : des millions de messages d’enfants et de parents dérobés


Pourquoi acheter une peluche connectée et lui parler à travers le toutou par le truchement de Smartphone ? Pourquoi pas lui parler par téléphone si le parent est au travail ou toutes autres raisons ? Je veux bien croire qu’on veut être à la mode et être connecté de partout, mais les enfants en ont-ils vraiment besoin ? C’est un risque de plus pour le piratage des objets connectés
Nuage

 

Nounours piratés : des millions de messages d’enfants et de parents dérobés

 

Nounours piratés : des millions de messages d'enfants et de parents dérobés

Les animaux en peluche de CloudPets (page d’accueil du site web de CloudPets)

Parler à son bébé via son doudou, c’est charmant… mais faute de sécurité, c’est la porte ouverte au vol de données et aux demandes de rançon informatique.

 

Thierry Noisette

Comme c’est trognon : des lapins et des ours en peluche connectés, qui permettent aux parents d’envoyer un message vocal à leur enfant qui le reçoit via son jouet, et peut répondre à papa ou maman, ou tout autre proche. Charmante idée en apparence, sauf que, dans le cas des doudous du californien CloudPets, il y avait une faille de sécurité, révèle un spécialiste en sécurité informatique, Troy Hunt.

Résultat, plus de 820 000 comptes utilisateurs étaient exposés, ainsi que 2,2 millions de messages audio enregistrés dont l’URL (l’adresse web du fichier) était facile à retrouver.

Troy Hunt explique que les gens « ne pensaient pas au fait que quand vous vous connectez à l’ours en peluche, la voix de vos enfants se trouve dans un serveur d’Amazon ».

Les jouets de CloudPets sont reliés à des applis mobiles ; l’utilisateur crée un compte chez CloudPets en donnant le nom de son enfant, une adresse e-mail et une photo. Il peut ensuite envoyer ou recevoir des messages par le truchement du joujou.

Voici la vidéo publicitaire de ces jouets :

 

CloudPets, qui a lancé ses jouets connectés (chat, chien, lapin et ours en peluche) en 2015, héberge ses données en ligne, mais cette base de données n’était pas protégée. Hunt a expliqué à CNN que c’est du même ordre qu’avoir un smartphone non verrouillé par un code. Cette base de données était indexée par Shodan, un moteur de recherche d’objets connectés à Internet – qui peut servir à détecter des dispositifs mal sécurisés, comme des caméras, ce que Rue89 a fait en 2014.

L’entreprise n’a rien dit à ses utilisateurs

Selon Hunt, quelqu’un a volé les données du service de CloudPets, puis les a effacées et a demandé à l’entreprise une rançon, en bitcoins. Au lieu de payer les malfaiteurs pour récupérer ces données, CloudPets les a restaurées avec une sauvegarde antérieure. Cependant, la compagnie n’a pas prévenu ses utilisateurs de la fuite (des témoignages rapportés par Hunt montrent même que plusieurs messages d’alerte de clients ont été ignorés pendant des jours), et les mots de passe dérobés sont toujours valides, ont constaté les chercheurs.

CNN relève que cela pourrait être un délit : la loi californienne oblige les entreprises à signaler aux utilisateurs si leurs informations ont été exposées en ligne, et CloudPets et son fabricant Spiral Toys se trouvent en Californie.

Le site Motherboard, alerté par les chercheurs en sécurité, souligne qu’en janvier la base de données en ligne de CloudPets a été effacée au moins deux fois, et que des pirates y ont accédé à plusieurs reprises.

Ce n’est pas le premier piratage de jouets connectés : fin 2015, Troy Hunt avait découvert une faille dans des gadgets Vtech, exposant les données de millions de parents et d’enfants.

Poupées interdites en Allemagne

Il y a quelques jours, l’Allemagne a interdit la vente des poupées Cayla en raison de leur facilité à être piratées, et recommandé aux parents en ayant déjà acheté de les jeter – le distributeur a assuré qu’en suivant le mode d’emploi elle ne permettait pas l’espionnage, et déclaré qu’il irait en justice contre cette décision du régulateur des télécoms.

Peu avant Noël, l’UFC Que Choisir avait alerté contre les lacunes en sécurité et en protection des données de deux jouets, la poupée Cayla et le robot i-Que. L’association de défense des consommateurs a saisi la CNIL (Commission nationale de l’informatique et des libertés) et la DGCCRF.

Motherboard note qu’en attendant que les concepteurs et fabricants d’objets dits « intelligents » de « l’Internet des objets » se décident à en améliorer la sécurité, « si vous êtes un parent qui ne voulez pas que vos messages affectueux à vos enfants soient divulgués en ligne, vous pourriez vouloir un bon vieux nounours à l’ancienne, qui ne soit pas relié à un serveur à distance non sécurisé ».

La CNIL a publié en novembre un rappel sur la sécurité des objets connectés.

http://tempsreel.nouvelobs.com

Publicités

Une réponse à “Nounours piratés : des millions de messages d’enfants et de parents dérobés

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s