Peluches connectées : Des milliers de comptes dans la nature !
05/04/2017
Les jouets connectés vont finir par ne plus amuser personne. Après la poupée Cayla et les jeux VTech, des peluches connectées, les Cloudpets de la société Spiral Toys, viennent de laisser échapper les données personnelles de 821 000 comptes d’utilisateurs. L’entreprise aurait même reçu une demande de rançon (en monnaie virtuelle Bitcoin) pour récupérer les données. Cette fuite jette une nouvelle fois le doute sur la capacité des fabricants à sécuriser leurs jouets qui, une fois connectés, génèrent des bases de données particulièrement sensibles. En plus des adresses e-mails et des mots de passe des parents, elles impliquent en effet directement les enfants !
Spiral Toys aurait été bien inspirée de consacrer un peu plus de budget à la sécurité informatique et un peu moins à la promotion de sa gamme de peluches connectées Cloudpets. L’entreprise américaine, qui a dépensé 9,6 millions de dollars pour diffuser des spots de publicité sur les chaînes préférées des enfants américains (Nickelodeon, The Cartoon Network, ABC Family, ABC Disney XD), a en effet laissé filer dans la nature les adresses e-mails et les mots de passe de 821 000 utilisateurs. L’accès à cette base de données, stockée sur des serveurs non sécurisés, n’a posé aucune difficulté aux pirates qui s’y sont attaqués. Cette base leur a également donné accès à plus de 200 000 messages vocaux échangés entre les parents et les enfants. C’est l’objet de ces peluches connectées : elles permettent aux parents de laisser à leurs enfants des messages, envoyés depuis leur smartphone à la peluche. Les enfants peuvent aussi y répondre simplement (il suffit de presser un bouton sur le bras du doudou). Spiral Toys aurait reçu des demandes de rançon, en monnaie virtuelle Bitcoin, pour reprendre la main sur les données. L’entreprise nie tout en bloc, mais les faits l’accablent. Le spécialiste en sécurité informatique Troy Hunt, qui a révélé l’information, les détaille sur son blog. Il explique notamment qu’il aurait suffi à Spiral Toys d’exiger des mots de passe complexes lors de la création du compte utilisateur (composés de chiffres et de lettres, de minuscules et de majuscules, etc.) pour éviter cette fuite.
Cayla, Ique, Hello Barbie...
Les Cloudpets complètent malheureusement une série de jouets connectés qui ont déjà posé des problèmes de sécurité informatique. Fin 2016, la poupée Mon amie Cayla avait été mise en cause : n’importe qui pouvait parler à travers la poupée et écouter les personnes autour d’elle via une simple connexion Bluetooth de son smartphone. Les autorités allemandes viennent d’ailleurs d’interdire sa commercialisation dans le pays. Cette même faille de sécurité liée à la technologie Bluetooth touchait le robot connecté iQue. En 2015, ce sont les serveurs de la société Vtech qui avaient été piratés, laissant échapper les données de 2 millions d’utilisateurs. À peine arrivée sur le marché américain, fin 2015, la poupée Hello Barbie soulevait les mêmes craintes. Ces inquiétants constats avaient poussé l’UFC-Que Choisir à saisir, fin 2016, la CNIL (Commission nationale de l’informatique et des libertés) et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) afin qu’elles diligentent des enquêtes sur ces jouets connectés. À ce jour, nous attendons toujours de leurs nouvelles.
Camille Gruhie / Que Choisir