Peluche Spiral Toys, nouvelle victime du piratage

01 juin 2018 à 15h36
0
La série noire du piratage de jouets continue. Après la poupée Cayla et la Hello Barbie, c'est sur les peluches de marque Spiral Toys qu'a été découverte une vulnérabilité : les pirates informatiques ont pu accéder à des messages audio enregistrés par des enfants et leurs parents.

Jouets piratables : la faille peut se cacher dans la base de données

C'était censé être une peluche câline et high-tech, dont la particularité est qu'à travers son haut-parleur, elle transmet à l'enfant des messages audio que ses parents lui enregistrent via leur téléphone ou tablette. Cela fonctionne également en sens inverse, les enfants pouvant enregistrer et transmettre les leurs. Hélas, cet ourson mignon s'est avéré un cadeau empoisonné : des pirates informatiques ont mis la main sur la base de données se trouvant sur le serveur du fabricant, où sont sauvegardés tous les messages enregistrés.

La base de données, absolument pas protégée, a même été indexée par Shodan, le moteur de recherche pour objets connectés. Troy Hunt, spécialiste de la sécurité informatique et blogueur, raconte sur son blog avoir vérifié l'authenticité de cette base de données en utilisant un vrai mail et un vrai mot de passe pour l'ourson Spiral Toys. À ce jour, le compteur de visites affiche 820.000, un beau témoignage de l'intérêt que les pirates et de simples curieux portent pour ce type de faille.

Pire, T. Hunt a signalé le problème à Spiral Toys, mais son mail lui est revenu. Il a alors tenté deux autres adresses, mais il n'a reçu aucune réponse.

0258000008666456-photo-spiral-toys.jpg


Le manque de protection, la bête noire des jouets connectés

La morale de l'histoire : malgré leur aspect visuel anodin, les « objets connectés » non protégés intéressent particulièrement les pirates informatiques. Dans le cas de la peluche Spiral Toys, c'est une base de données que les pirates ont retrouvée entre leurs mains. Mais il suffit que l'objet soit un peu plus complexe pour qu'il soit possible de le piloter à distance, comme les ordinateurs ou tablettes dont les caméras et les micros peuvent être actionnés et contrôlés par des malfaiteurs se trouvant à des milliers de kilomètres.

Le préjudice réel causé par ce piratage particulier semble limité. Qui, en effet, aurait l'idée d'échanger à travers un jouet des informations commerciales ou autrement potentiellement intéressantes pour les malfaiteurs ? Fin décembre 2015, c'est une tablette pour enfants du fabricant hongkongais Vtech qui s'est retrouvée victimes des pirates : ceux-ci ont alors pu soutirer des données telles que des noms, des adresses mail et postales, des questions ainsi que des réponses secrètes, sans compter les innombrables photos échangées.

Face à une telle richesse d'informations, les pirates peuvent s'en donner à cœur joie : non seulement de nombreux internautes utilisent le même mot de passe pour plusieurs sites et applications, mais il y a des risques que la question secrète soit aussi la même, permettant souvent d'accéder à un site lorsque le mot de passe est différent.

Voir aussi :
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Volpy, l'application qui rachète votre vieux smartphone
Godotify : vos amis attendront une réponse pour toujours
Orange lance son boîtier 4G
B&You : forfait illimité 10 Go pour 4,99 euros par mois
Sosh : 15 € de réduction par mois pendant un an
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page