Câliner sa peluche et échanger des messages vocaux grâce au Cloud Pets… tandis que de méchants hackers détournent 2,2 millions d'enregistrements vocaux et font chanter la firme.
L’affaire a été révélée par Troy Hunt, expert en sécurité. Les Cloud Pets, ces peluches toutes douces permettant à l’enfant de recevoir des messages vocaux de leurs parents et à son tour d’en renvoyer, ont fait l’objet d’un énorme détournement de données. Des pirates ont en effet détecté une faille dans le système de sécurité de ces jouets connectés dont les données sont hébergées sur le serveur d’Amazon, via une application mobile dédiée. Pour mettre en marche le jouet, le parent doit en amont enregistrer le compte de son enfant, soit indiquer son prénom, son nom, une photo et une adresse mail.
820 000 comptes utilisateurs auraient ainsi été créés et hébergés dans une base de données gérée par Shodan depuis 2015 (date de création du jouet) et sans protection, selon Troy Hunt qui déclare à CNN : « cela équivaudrait à avoir un smartphone non verrouillé avec un code ». Une défaillance dont aurait profité des petits malins pour détourner ces comptes et récupérer l’équivalent de 2,2 millions de messages vocaux. Un magot numérique qui a servi à faire chanter la firme de jouets. Toujours selon Troy Hunt, les hackers auraient demandé une rançon à la société en Bitcoin. Cloud Pets n’aurait pas cédé au chantage et a fini par restaurer les données pillées grâce à une sauvegarde antérieure. Ni vu, ni connu, et surtout pas prévenus.
Car toujours, selon Troy Hunt, Cloud Pets n’a, à aucun moment, prévenu les utilisateurs des fuites de leurs données, alors que les mots de passe dérobés sont toujours valides. Pire, la société de jouets aurait fait la sourde oreille aux nombreux avertissements des utilisateurs. Cela pourrait constituer une violation de la loi : en Californie, où Cloud Pets est basée, le gouvernement exige que les entreprises informent les utilisateurs si leurs informations ont été exposées en ligne.
Une affaire qui rappelle celle de Cayla, la poupée considérée comme espionne puisqu’elle est capable d’émettre et d’enregistrer des sons et présente des failles de sécurité. Ce jouet connecté vient d’ailleurs d’être interdit en Allemagne. Commercialisée par l’américain Genesis Toys, distribuée en Europe par le britannique Vivid toy Group, Cayla dispose d’un microphone intégré, qui se connecte par Bluetooth à une application mobile, préalablement téléchargée par l’utilisateur sur son téléphone ou sa tablette. Et c’est là où le bât blesse : n’importe qui pourrait parler à l’enfant via la poupée. Une étude norvégienne de Forbrukkerradet a ainsi démontré que toute personne située dans un rayon de 20 à 80 m du jouet peut prendre son contrôle et entendre les discussions des enfants.
Participer à la conversation