Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
Piratage : et maintenant, les peluches connectées
publié le 1 mars 2017 à 11h20.
Des doudous produits en Califronie et permettant de converser avec son enfant via un message vocal, auraient selon un spécialiste en sécurité été piratés.
Le principe est mignon comme tout : des peluches connectées offrent la possibilité de laisser un message vocal à leur enfant, message restitué par ledit doudou. L’enfant peut ensuite répondre de la même manière.
Mais quand les données en question sont touchées par une faille de sécurité, le charme a la légère tendance à partir en fumée; et c’est ce qui serait arrivé à la firme américaine Spiral Toys, si l’on en croit le spécialiste en sécurité informatique Troy Hunt.
Des données en ligne pas vraiment protégées
Techniquement, les parents créent un compte CloudPets, en précisant nom, adresse e-mail et en téléchargeant une photo de l’enfant. Selon Troy Hunt, les parents « n’imaginaient pas au fait que quand ils se connectent à l’ours en peluche, la voix de leurs enfants se retrouve sur un serveur d’Amazon ». Au final, toujours d’après le spécialiste, ce sont pas moins de 820.000 comptes et 2,2 millions de messages vocaux qui étaient pour ainsi dire exposés « à l’air libre ».
Here it is:
– Toy captured kids voices
– Data exposed via MongoDB
– 2.2m recordings
– DB ransom'd
– And much more…https://t.co/HvePnZleXR— Troy Hunt (@troyhunt) February 27, 2017
Ainsi, les données auraient été piratées, puis une rançon en bitcoins demandée en contrepartie de leur reddition. La société californienne aurait alors refusé de céder au chantage, se contenant de restaures les données avec une sauvegarde antérieure, souligne L’Obs.
Les utilisateurs n’ont pas été prévenus
Comme si cela ne suffisait pas, Spiral Toys n’a pas jugé utile d’informer ses clients du vol. Pire, les mots de passe concernés sont toujours valides. Et la loi californienne contraignant les sociétés à signaler à leurs clients la fuite de leurs données en ligne, Spiral Toys s’expose en théorie à des poursuites.
Ce n’est pas la première fois que Troy Hunt révèle de telles failles dans des jouets. En 2015, certains commercialisés par VTech étaient concernés. Et il y a quelques jours, l’Allemagne interdisait la vente des poupées Cayla pour les mêmes raisons de manque de fiabilité dans la sécurisation des données.