Insuffisamment protégées, les peluches Cloudpets de la marque américaine Spiral Toys auraient été laissées à la merci des pirates. Des demandes de rançon auraient même eu lieu, sans que la marque n'en informe ses clients. Des failles de sécurité dans les objets connectés sont régulièrement constatées. Des poupées ont ainsi été retirées de la vente en Allemagne.
Sécuritéinformatique : 800 000 peluches connectées piratées
Ni mot de passe ni pare-feu
Victor Gevers est président de la GFI Foundation, une organisation qui oeuvre pour rendre "internet plus sûr". Troy Hunt est blogger, spécialisé dans la sécurité informatique. Tous deux ont découvert des failles dans les jouets Cloudpets et se sont confiés à la presse. Hunt avait déjà révélé une telle affaire sur des gadgets de la marque Vtech en 2015. Cette fois, les deux hommes ont constaté que la base de données de Spiral Toys n'était pas protégée, ni par un mot de passe, ni par un pare-feu. Paramétrables via une appli mobile, les peluches Cloudpets (chats, chiens, ours...) permettent l'interaction entre parents et enfants grâce à une commande vocale. Les parents ont juste à créer un compte sur Cloupets avec le nom, la photo de leur enfant et une adresse mail. Ces données sont ensuite hébergées par Spiral Toys qui semble avoir oublié de les protéger. Troy Hunt raconte ainsi avoir réussi à entrer dans plusieurs comptes en tapant simplement "123456" "qwerty" ou encore "password". La faille aurait ainsi concerné, selon M. Gevers, 821 396 utilisateurs et plus de deux millions de messages vocaux enregistrés.Des rançons réclamées
Troy Hunt affirme avoir alerté Spiral Toys dès le 30 décembre dernier, sans réponse de leur part. Plus grave encore, selon lui, un premier vol de données aurait conduit à une demande de rançon que l'entreprise aurait préféré ignorer en restaurant ses informations avec une sauvegarde antérieure. Et sans prévenir ses clients. Selon le site spécialisé Motherboard, la base de données de Spiral Toys aurait été effacée deux fois. Dès le 7 janvier, plusieurs clients auraient reçu des demandes de rançon en bitcoins, en échange de leurs données. Le PDG de l'entreprise, Mike Myers s'est enfin exprimé sur le sujet et nie tout vol de messages vocaux enregistrés sur les jouets du groupe. Il pourrait toutefois être condamné par la loi californienne qui oblige les entreprises à prévenir leurs utilisateurs si leurs informations ont été exposées en ligne.Des poupées interdites en Allemagne
Les problèmes de sécurité sur des objets connectés se multiplient.Avant Noël, l'association UFC-Que Choisir avait saisi la CNIL (Commission nationale de l'informatique et des libertés) ainsi que la DGCCRF pour des lacunes de sécurité constatées sur deux jouets, le robot i-Que et la poupée Cayla. Cette dernière vient d'ailleurs d'être interdite à la vente en Allemagne. C'est le régulateur allemand des télécoms qui a purement et simplement exigé le retrait du jouet des magasins en raison d'un risque trop grand pour la vie privée des consommateurs. Il a également conseillé aux propriétaires de poupées Cayla de les désactiver ou de les jeter. En cause, le standard Bluetooth utilisé est trop vulnérable et peut permettre à un pirate d'intercepter les données déjà enregistrées. Par ailleurs, Cayla peut enregistrer des voix autour d'elle, un système qualifié de "dispositif dissimulé d'espionnage" par le régulateur allemand. La poupée est également connectée au réseau et les CGU de la société autorisent le transfert et l'analyse des données, à des fins publicitaires.
8 commentaires
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer