BFM Tech

Ces peluches connectées pourraient permettre d'espionner vos enfants

-

- - CloudPets

Une faille de sécurité a permis à des pirates de consulter les données personnelles des utilisateurs de peluches CloudPets. Pire, ces jouets pourraient servir à espionner les familles.

Décidément, les temps sont durs pour les jouets connectés. Après les poupées Hello Barbie ou Cayla, ce sont les peluches CloudPets, une marque détenue par le fabricant Spiral Toys, qui sont sous le feu des critiques. Une faille de sécurité a exposé plus de 820 000 comptes utilisateurs ainsi que 2,2 millions de messages audio entre les parents et leurs enfants.

Les CloudPets sont liés à des applis mobiles. Pour pouvoir envoyer ou recevoir des messages par le biais de la peluche, l’utilisateur (ou plus probablement un parent) crée un compte auprès de la marque en donnant son nom, une adresse e-mail et une photo. Puis, il renseigne le nom et la date de naissance de son enfant et insère une photo. Autant de données qui sont stockées en ligne tout comme les messages échangés par la suite. Sauf que cette base de données (MongoDB) est accessible en ligne sans authentification, a expliqué Troy Hunt, spécialiste en sécurité informatique.
Pire, elle était répertoriée sur Shodan, un moteur de recherche fréquemment utilisé par les hackers pour trouver des objets et services connectés sur Internet.

Des tentatives d'extorsion

Entre le 25 décembre et le 8 janvier, poursuit le spécialiste, ces données ont été consultées de nombreuses fois et des pirates ont profité du filon pour réclamer de l’argent à des utilisateurs pour ne pas dévoiler leurs données personnelles. Ce n’est que le 13 janvier dernier que l’accès à la base de données n’a plus été possible.

Troy Hunt reproche par ailleurs au fabricant de ne pas avoir incité les propriétaires de ses peluches à mettre en place un mot de passe fort. Celui utilisé dans la démonstration des jouets ne comporte que trois lettres, « qwe », qui correspondent aux premières touches d’un clavier américain. De fait, en consultant les mots de passe des utilisateurs de ces peluches, le spécialiste y a retrouvé de nombreuses fois des mots de passe bien trop simples... comme password, 123456 ou cloudpets.

-
- © Capture vidéo CloudPets

Malgré plusieurs tentatives, le chercheur n’a pas réussi à joindre l’entreprise pour la prévenir de ses constatations. Celle-ci a tout de même fini par admettre l’existence d’une faille mais a nié que les données de ses clients aient été compromises.

Mais les soucis de Spiral Toys ne s’arrêtent pas là. Un autre chercheur en sécurité, Paul Stone, a indiqué au site Motherboard que le jouet lui-même pouvait être piraté avec un simple smartphone dans un rayon de 10 mètres. La peluche devient alors un outil de surveillance ou peut servir à menacer l’enfant.

De quoi vous dégoûter d'offrir des jouets connectés !