Les données personnelles de 800.000 possesseurs de peluches connectées de la marque Spiral Toys contenant notamment 2,2 millions d'enregistrements vocaux échangés entre les parents et leurs enfants étaient accessibles en ligne sans aucune mesure de protection. Les experts qui ont découvert cette faille pensent qu'elle a été exploitée par des pirates pour faire chanter l'entreprise.

Dans la plupart des cas, les jouets de nos enfants répondent à des normes de fabrication strictes censées assurer leur sécurité. C'est assez logiquement que l'on imagine qu'il en va de même pour les données collectées par les jouets connectés qui sont de plus en plus nombreux dans les rayons des magasins. Reliés à des applications et services en ligne, ces poupées, robots et autres peluches recueillent un certain nombre de données personnelles et contenus multimédias (messages vocaux ou vidéo) hébergés sur des serveurs censément sécurisés.

Or, plusieurs témoignages récents sont venus révéler le peu de cas que certaines marques de jouets connectés semblent faire de la protection des données personnelles de leurs clients. Le dernier exemple en date concerne des peluches connectées de la gamme CloudPets vendues par Spiral Toys. Selon les découvertes de Troy Hunt, expert en sécurité, et du site Motherboard, les informations contenues dans plus de 800.000 comptes utilisateurs étaient stockées sur une base de données MongoDB, accessible à quiconque, sans mot de passe.

Outre les adresses de courrier électronique, les mots de passe et autres informations sensibles, quelque 2,2 millions de messages vocaux échangés entre les parents et les enfants jouant avec ces peluches étaient également exposés. Pour trouver cette base de données, il suffisait de passer par Shodan, un outil prisé des experts en sécurité mais aussi des cyberpirates. Il s'agit d'un moteur de recherche spécialisé dans les objets connectés capables d'identifier les serveurs web, les routeurs et les périphériques peu ou pas sécurisés.

Selon Troy Hunt et Motherboard, la base de données associée aux CloudPets aurait été dérobée au moins deux fois par des pirates qui auraient ensuite réclamé une rançon à Spiral Toys. L'entreprise a fini par confirmer que sa base de données avait bien été exposée sur Internet. Mais elle a assuré que les messages vocaux n'avaient pas été « compromis », sans toutefois s'exprimer au sujet d'éventuelles tentatives de chantage. Une réaction aussi floue que molle qui ne suffira sans doute pas à rassurer les clients...

Outre l’absence de sécurisation des données stockées en ligne par Spiral Toys, un expert en sécurité a par ailleurs démontré avec quelle facilité on pouvait prendre le contrôle d’une peluche connectée CloudPets. © Motherboard, Paul Stone

Les CloudPets ne sont pas les seuls jouets connectés mis en cause

D'autant qu'un autre expert en sécurité, du nom de Paul Stone, cité dans un article de Motherboard, a démontré que les peluches connectées elles-mêmes sont facilement piratables. Il suffit de se trouver à une dizaine de mètres avec un smartphone compatible Bluetooth pour se connecter au jouet à partir duquel on peut envoyer et recevoir des données. N'importe quel modèle de CloudPet peut être transformé en mouchard capable d'enregistrer jusqu'à cinq messages de 40 secondes chacun.

Le cas de Spiral Toys n'est malheureusement pas isolé. Il y a une quinzaine de jours, les autorités allemandes avaient émis une alerte à l'encontre de la poupée connectée My Friend Cayla après l'avoir classée comme un « dispositif d'espionnage ». L'agence fédérale en charge des télécommunications a décrété son retrait du marché et invité les parents ayant acheté le jouet à le détruire. Munie de microphones, Cayla interagit avec les enfants en leur posant des questions. Des conversations ont ainsi été enregistrées et sauvegardées sur des serveurs, sans que le consentement préalable des parents n'ait été recueilli. Les autorités américaines avaient également dénoncé ce fonctionnement et des signalements ont été faits en France, Belgique, Irlande, Pays-Bas et Norvège.

Ajoutons qu'en 2015, une polémique avait éclaté au sujet de la poupée connectée Hello Barbie suite aux conclusions d'experts sur des failles de sécurité affectant le produit qui, en Allemagne, fut qualifié de « Barbie Stasi ». Malgré tout, aussi inquiétants soient-ils, ces exemples ne présument pas du niveau de sécurité des jouets connectés dans leur ensemble. Pour autant, cela devrait inciter les consommateurs à la vigilance quant au fonctionnement de ces produits ainsi que les conditions de recueil et d'utilisation des données personnelles.

Cela vous intéressera aussi