Les ours en peluche peuvent aussi être piratés

Le tout connecté a visiblement ses limites. C’est en tout cas ce que prouve cette étonnante histoire. Une faille aurait en effet exposé les données capturées par des centaines de peluches connectées vendues par un fabricant spécialisé. Pire, des hackers auraient même réussi à mettre la main sur ces précieuses informations.

Spiral Toys n’est pas une entreprise très connue chez nous, mais elle est bien implantée sur le territoire américain et elle rencontre même beaucoup de succès auprès des enfants.

Hack Peluche

Les peluches peuvent se faire pirater elles aussi.

Contrairement à la plupart des fabricants du secteur, l’entreprise a choisi d’investir massivement dans les jouets connectés afin de se distinguer de ses concurrents.

Les CloudPets, des peluches intelligentes et connectées

Les CloudPets font partie des produits les plus populaires de l’entreprise. Cela n’a d’ailleurs rien d’étonnant, car ces peluches connectées offrent de nombreux services différents. Ils peuvent chanter des comptines ou même raconter des histoires, mais aussi jouer à des jeux et même envoyer ou recevoir des messages.

Comment ? Grâce à une simple application mobile ! Pour profiter de cette fonction, les parents de l’enfant n’ont qu’à installer un outil sur leur terminal et le connecter ensuite à la peluche.

Une fois que tout est en ordre, ils peuvent passer par l’application pour envoyer des messages vocaux à leur enfant, des messages qui seront lus par la peluche. L’enfant, lui, n’aura qu’à appuyer sur un simple bouton présent au niveau du cœur de son ours pour pouvoir en faire autant.

Très utile, cette fonction de messagerie permet donc aux parents ou même aux grands-parents de rester « proches » de l’enfant lorsqu’ils ne sont pas physiquement à ses côtés. Plutôt utile, notamment pendant les vacances ou même dans le cadre d’une garde alternée.

Toutefois, selon Motherboard, la compagnie n’avait pas suffisamment sécurisé les échanges. Les données associées aux comptes utilisateurs étaient en effet stockées dans une base de données MongoDB non protégée (accessible sur Shodan) et plusieurs chercheurs en sécurité ont réussi à accéder aux informations contenues dans ses tables.

Un gros problème de sécurité

Quelles informations ? Les données relatives aux comptes, comme les adresses mail ou même les mots de passe.

Bien sûr, certaines de ces données étaient chiffrées, mais Troy Hunt a effectué des tests de son côté et il a alors réalisé que certains mots de passe étaient tellement faibles qu’il suffisait de quelques minutes pour les cracker.

Mais ce n’est pas le pire. En examinant attentivement cette fameuse base de données, les experts en sécurité ont réalisé qu’elle avait été écrasée pas moins de deux fois. Il est donc possible que les données stockées dans la base aient été volées par des personnes malveillantes et détenues en échange d’une rançon. Dans ce cas, alors ces fameux hackers auraient été parfaitement en mesure de récupérer les données stockées dans la base et d’accéder du même coup aux messages vocaux échangés entre les parents et leurs enfants.

Ce n’est pas la première fois qu’un tel problème se produit. Cayla, la poupée connectée, a elle aussi été pointée du doigt en fin d’année dernière pour des problèmes de sécurité. Les autorités allemandes ont d’ailleurs décidé de l’interdire sur l’ensemble du territoire pour protéger les enfants et les familles.

Mots-clés insolitesécurité