BFM Tech

Hello Barbie, la poupée connectée aux 14 failles de sécurité

-

- - Somerset Recon

Alors que ses créateurs assurent que la poupée est munie de nombreuses options de sécurité, des chercheurs y ont détecté 14 failles. Gênant.

En novembre 2015, à peine arrivée sur le marché américain, Hello Barbie, la poupée connectée de Mattel et de ToyTalk (la start-up en charge de la partie high-tech du produit), faisait déjà trembler des parents qui trouvaient le jouet indiscret et peu sécurisé. En cette fin janvier 2016, c’est au tour d’un groupe de chercheurs en sécurité de tirer la sonnette d’alarme. Ils ont annoncé avoir détecté 14 failles dans les serveurs recueillant les conversations entre les bambins et la poupée.

Selon le rapport de ces chercheurs, la vulnérabilité la plus sérieuse permet à des pirates de proposer un nombre illimité de mots de passe pour déverrouiller le compte créé par les parents. Une fois le mot de passe trouvé, les pirates peuvent accéder à tous les renseignements personnels entrés sur le compte et aux enregistrements des réponses de l’enfant. Et d’après les chercheurs, Toytalk facilite grandement la tâche des pirates en autorisant des mots de passe simples puisqu’il suffit qu’ils comportent huit caractères.

Des conseils pour éviter le pire

Les chercheurs ont également constaté que les propriétaires de la poupée, ou leurs parents, peuvent très facilement recevoir des e-mails copiant le programme Hello Barbie les redirigeant vers des sites de phishing. Pire : la page d’accueil du site de ToyTalk peut facilement être victime d’une redirection. Autre souci, la connexion Wi-Fi entre la poupée et le smartphone des parents n’utilise aucun cryptage pour protéger les données.

Pour éviter ces soucis, la première option serait que Mattel et ToyTalk sécurisent un peu plus leurs outils. Mais à défaut, les chercheurs suggèrent notamment aux parents d’utiliser un mot de passe fort pour le compte Hello Barbie et de limiter le temps pendant lequel la poupée est appairée au smartphone. Ils leurs conseillent également d’effacer leur compte Hello Barbie si jamais ils constatent que celui-ci n’enregistre plus les conversations et enfin de ne se connecter que depuis une liaison Wi-Fi dont ils sont sûrs.