Les peluches connectées permettent de s'échanger des messages à distance. | Cloudpets

Avec leur large sourire, l’ours, le lapin bleu, le chat ou la licorne ont à première vue tout l’air d’être inoffensifs. Pourtant, ces jouets connectés seraient à l’origine d’une importante fuite de données personnelles.

A l’origine de cette découverte, Victor Gevers, président de la GDI Foundation, une organisation à but non lucratif qui œuvre pour rendre « Internet plus sûr ». C’est à la fin de 2016 qu’il a trouvé, comme le révèle Vice, un lien mal protégé vers la plate-forme de stockage en ligne utilisée par ces jouets pour stocker des informations, via un moteur de recherche qui permet de trouver des sites ou serveurs non protégés. Entre le jour de Noël et la première semaine de janvier, les informations personnelles de 821 000 détenteurs de peluches de la marque CloudPets y étaient accessibles.

Une base de données sans protection

Cette base de données, hébergée sur une plate-forme MongoDB qui n’était nullement protégée (ni avec un mot de passe, ni avec un pare-feu), contiendrait les e-mails et les mots de passe associés. Par ailleurs, CloudPets ne vérifiait pas non plus que les mots de passe de ses clients étaient suffisamment sécurisés, comme l’explique Troy Hunt, un développeur spécialisé dans le domaine de la sécurité informatique dans un post de blog datant du 28 février. Il raconte ainsi avoir réussi à entrer dans plusieurs comptes, en tapant simplement « 123456 », « qwerty » ou encore « password » (« mot de passe », en anglais). Un simple « a » pouvait ainsi servir de moyen d’authentification.

La découverte est d’autant plus problématique que c’est via ces comptes que les parents pouvaient valider, ou non, des messages vocaux reçus par leurs enfants de partout dans le monde. Si, à en croire les publicités de CloudPets, cela devait servir aux seuls membres de la famille de mode de communication, des personnes malveillantes pourraient ainsi s’en servir pour envoyer n’importe quel contenu.

Des demandes de rançon sur Internet

Troy Hunt et Victor Gevers expliquent également avoir trouvé deux millions de messages vocaux. S’ils ne sont pas directement stockés dans la base de données retrouvée, ils seraient relativement faciles à trouver, à l’aide d’une simple adresse URL.

A noter que les deux experts s’accordent à dire que des internautes se seraient emparés des données. Troy Hunt parle de « plusieurs personnes », sans qu’il soit capable d’affirmer précisément leur identité et leur nombre. « Je n’ai aucune idée d’à quel point les données ont circulé jusqu’à présent », concède-t-il. Des « demandes de rançon » sont toutefois évoquées.

CloudPets, contactée à plusieurs reprises par Victor Gevers, n’a pour l’instant pas réagi. Ni l’adresse e-mail de cette firme ni celle de sa maison mère Spiral Toys ne semblent par ailleurs valides.

De son côté, Troy Hunt invite les parents à se préparer dès à présent à ce que leurs données ou messages se retrouvent entre les mains d’inconnus. Il leur recommande, ensuite, de retourner, ensuite, aux ours en peluche des plus classiques :

« Les jouets qui enregistrent leur voix et envoient ces fichiers sur le Web posent de sérieux risques pour la vie privée. Ce n’est pas tant que ces risques soient différents de ceux auxquels vous faites face tous les jours avec le volume de données que vous produisez et mettez en ligne, mais plutôt que notre tolérance varie beaucoup lorsque des enfants sont impliqués. J’ai moi-même de jeunes enfants et, franchement, je ne vois pas l’utilité pour eux d’avoir des choses qui captent leurs voix et les stockent en ligne. »

La semaine dernière, un autre jouet connecté du même type avait été pointé du doigt : la poupée Cayla, qualifiée en Allemagne de « dispositif dissimulé d’espionnage » par l’agence de régulation des réseaux. Cette poupée, également insuffisamment protégée pour le régulateur allemand, est en vente libre en France.