Des peluches espionnes font fuiter des milliers de données

Le 28 février dernier, l’expert en cybersécurité Troy Hunt rapportait sur son blog une fuite de données de milliers de comptes clients de Spiral Toys. L’entreprise basée en Californie commercialise une peluche connectée appelée CloudPets. Le jouet est capable de répéter des messages audio pré-enregistrés à distance. Le problème est que la base de données utilisée pour stocker les données concernant les comptes clients et les messages n’était pas sécurisée : plus de 2 millions de messages vocaux et 821 000 emails et mots de passes étaient accessibles depuis Internet.

Les jouets connectés, de petits chevaux de Troie dans notre quotidien

La fuite de données CloudPets n’est pas la première à affecter le secteur du jouet. Déjà en novembre 2015, le fabricant de jouets connectés hongkongais VTech annonçait être victime d’une cyberattaque qui a vu les informations concernant plus de 10 millions de comptes être dérobées. Des photos d’enfants ainsi que les contenus des sessions de chats ont ainsi pu être récupérés par les attaquants.

Plusieurs jouets connectés ont par ailleurs été sévèrement critiqués et interdits pour leur manque de sécurité. La poupée Cayla a ainsi été interdite en Allemagne le mois dernier. Le régulateur allemand est allé jusqu’à conseiller aux parents ayant déjà acheté la poupée de la détruire. Plusieurs chercheurs en cybersécurité ont aussi dénoncé le manque de sécurité de la poupée Hello Barbie de Mattel en décembre 2015. Equipée d’un microphone et d’un logiciel de reconnaissance vocale, la poupée était facilement piratable. La sécurité des jouets connectés est donc une nouvelle fois mise à l’épreuve avec les peluches CloudPets.

via GIPHY

Une MongoDB mal configurée et plusieurs fois dérobée

Les peluches de Spiral Toys permettent à des parents de communiquer avec leur enfants via le cloud par le truchement de la peluche. Une application mobile enregistre les messages des parents qui sont envoyés sur un espace de stockage en ligne où ils sont stockés sur une base de données MongoDB puis réexpédiés à la peluche de l’enfant.

La base de données était référencée par le moteur de recherche d’objets connectés Shodan depuis le 25 décembre 2016. Cet outil en libre accès permet de répertorier l’ensemble des objets connectés. Concernant CloudPets, il s’agit très certainement d’une mauvaise configuration de la base de données qui n’était pas sécurisée.

Plus grave, début janvier a vu une série d’attaques contre les bases de données MongoDB ouvertes : des attaquants prenaient le contrôle des bases de données pour n’en rendre l’accès que contre le paiement d’une rançon. Il semblerait que la base de données CloudPets ait été victime de cette vague d’extorsion comme en témoignent les changements de noms de la base les 7 et 8 janvier 2017 en “README_MISSING_DATABASES” puis “PWNED_SECURE_YOUR_STUFF_SILLY”. Or l’entreprise SpiralToys n’a jamais reporté cette compromission de ses données. Celles-ci ont donc pu être copiées et revendues sur le Dark Web. Des scénarios d’extorsion à partir de l’utilisation des fichiers audio volés ne sont pas exclus.

L’Internet des Objets, le nouvel El Dorado des hackers

Cette fuite de données est symptomatique de la vulnérabilités des objets connectés. Quand un jouet multiplie les opportunités de communiquer avec ses enfants, il peut aussi se retourner contre les familles qui l’utilisent. Des failles de sécurité comme celle de CloudPets permettent à des acteurs malveillants d’écouter, de voler et de réutiliser vos conversations personnelles.

Les régulateurs comme la Bundesnetzagentur allemande ont un défi important à relever : celui de protéger les consommateurs des jouets les plus dangereux pour leur intimité. Le Réseau de Coopération pour la Protection du Consommateur, qui rassemble les régulateurs européens en matière de consommation, s’est réuni en mars dernier avec les autorités de protection des données personnelles de plusieurs pays européens pour discuter des applications et risques des jouets connectés. Il semblerait que les régulateurs surveillent de près les futurs meilleurs amis de nos enfants.

Suggestions