Peluche Spiral Toys, nouvelle victime du piratage

La série noire du piratage de jouets continue. Après la poupée Cayla et la Hello Barbie, c'est sur les peluches de marque Spiral Toys qu'a été découverte une vulnérabilité : les pirates informatiques ont pu accéder à des messages audio enregistrés par des enfants et leurs parents.

Jouets piratables : la faille peut se cacher dans la base de données


C'était censé être une peluche câline et high-tech, dont la particularité est qu'à travers son haut-parleur, elle transmet à l'enfant des messages audio que ses parents lui enregistrent via leur téléphone ou tablette. Cela fonctionne également en sens inverse, les enfants pouvant enregistrer et transmettre les leurs. Hélas, cet ourson mignon s'est avéré un cadeau empoisonné : des pirates informatiques ont mis la main sur la base de données se trouvant sur le serveur du fabricant, où sont sauvegardés tous les messages enregistrés.

La base de données, absolument pas protégée, a même été indexée par Shodan, le moteur de recherche pour objets connectés. Troy Hunt, spécialiste de la sécurité informatique et blogueur, raconte sur son blog avoir vérifié l'authenticité de cette base de données en utilisant un vrai mail et un vrai mot de passe pour l'ourson Spiral Toys. À ce jour, le compteur de visites affiche 820.000, un beau témoignage de l'intérêt que les pirates et de simples curieux portent pour ce type de faille.

Pire, T. Hunt a signalé le problème à Spiral Toys, mais son mail lui est revenu. Il a alors tenté deux autres adresses, mais il n'a reçu aucune réponse.

Spiral Toys


Le manque de protection, la bête noire des jouets connectés


La morale de l'histoire : malgré leur aspect visuel anodin, les « objets connectés » non protégés intéressent particulièrement les pirates informatiques. Dans le cas de la peluche Spiral Toys, c'est une base de données que les pirates ont retrouvée entre leurs mains. Mais il suffit que l'objet soit un peu plus complexe pour qu'il soit possible de le piloter à distance, comme les ordinateurs ou tablettes dont les caméras et les micros peuvent être actionnés et contrôlés par des malfaiteurs se trouvant à des milliers de kilomètres.

Le préjudice réel causé par ce piratage particulier semble limité. Qui, en effet, aurait l'idée d'échanger à travers un jouet des informations commerciales ou autrement potentiellement intéressantes pour les malfaiteurs ? Fin décembre 2015, c'est une tablette pour enfants du fabricant hongkongais Vtech qui s'est retrouvée victimes des pirates : ceux-ci ont alors pu soutirer des données telles que des noms, des adresses mail et postales, des questions ainsi que des réponses secrètes, sans compter les innombrables photos échangées.

Face à une telle richesse d'informations, les pirates peuvent s'en donner à cœur joie : non seulement de nombreux internautes utilisent le même mot de passe pour plusieurs sites et applications, mais il y a des risques que la question secrète soit aussi la même, permettant souvent d'accéder à un site lorsque le mot de passe est différent.

Voir aussi :
Modifié le 10/03/2017 à 16h06
Commentaires