Sécurité informatique : 800 000 peluches connectées piratées

Publié le 

Sécurité informatique : 800 000 peluches connectées piratées/ iStock.com - Chanwoot1977
Sécurité informatique : 800 000 peluches connectées piratées/ iStock.com - Chanwoot1977

Fin 2016, Victor Gevers, président de la GDI Foundation, a découvert une faille sur la plateforme de stockage des informations des propriétaires de peluches CloudPets. C’est ainsi que du 25 décembre 2016 au 8 janvier 2017, les données personnelles de 821 000 personnes ont été dévoilées sur Internet.

Des adresses mails, des mots de passe et des messages privés entre des parents et leurs enfants se retrouvent entre les mains de plusieurs hackers. Il est aujourd’hui impossible d’identifier les pirates.

Une sécurité inexistante

D’après Troy Hunt, expert en sécurité informatique, la plateforme de stockage des informations des propriétaires de peluches de la marque californienne CloudPets ne disposait d’aucun système de protection. Or, les détenteurs de ces jouets connectés devaient s’inscrire et fournir le nom de leur enfant, un e-mail et une photo. Selon l’expert, les mots de passe utilisés par les clients de la marque étaient également faciles à deviner. Troy Hunt affirme avoir accédé à plusieurs comptes avec les mots de passe “123456”, “password” ou “qwerty”.

Une indifférence totale

D’après Troy Hunt, la base de données de l’entreprise aurait été piratée et - au lieu de prévenir les propriétaires - CloudPets l’aurait tout simplement restaurée à partir d’une sauvegarde. Motherboard soutient la thèse d'un expert signalant que la base de données de l’entreprise a été effacée deux fois en janvier. Pour l’instant, la marque californienne n’a donné aucune suite aux alertes données par Hunt et Gevers. Pire encore, son adresse e-mail et celle de Spiral Toys, sa maison mère, ne sont plus valides.

Des jouets trop faciles à pirater

Face à la vulnérabilité des jouets connectés, Troy Hunt recommande aux parents d’offrir à leurs enfants des peluches classiques. Ce conseil rejoint celui de l’agence allemande de régulation des réseaux qui a récemment interdit la vente de la poupée connectée Cayla en Allemagne. D’après elle, ce jouet serait un dispositif dissimulé d’espionnage.