Ah, l’internet des choses… Imaginez le scénario : vous, papa, voyez la publicité pour un animal en peluche qui vous permet de parler à votre fils à distance. Vous pouvez échanger des messages vocaux avec une application connectée au jouet, qui joue et enregistre le son. Regardez la jolie publicité :
https://youtu.be/EcxNHgYUz6s
Mais vous avez peut-être remarqué dans le titre de cet article que le “gadget” n’a pas si bien fonctionné. Le produit, appelé CloudPets, présente une grave faille de sécurité qui permettait d’accéder facilement aux données des utilisateurs, telles que les photos de profil, les noms des enfants, leurs dates de naissance, qui était son “ami” dans l’application (père, tante, grand-mère, etc.) et tous les 2,2 millions ( !) de messages vocaux qui ont été échangés pour les 820 000 comptes. Quel ennui, hein ?
Toutes ces données pouvaient être facilement obtenues car la base de données qui stockait tout cela était accessible au public, sans aucune sorte d’authentification, et était indexée par le moteur de recherche Shodan, spécialisé dans l’internet des choses. Le désordre a été découvert par l’expert en sécurité numérique Troy Hunt, qui a détaillé dans son blog toute l’aventure consistant à examiner les défauts du produit.
Hunt dit qu’il était facile d’accéder aux fichiers, stockés sur un serveur Amazon. Il suffit d’ouvrir le lien, facilement obtenu par l’API, pour que les messages des utilisateurs soient téléchargés automatiquement. Il a fait le test et a pu entendre un enfant dire “bonjour” à ses parents et leur dire qu’il les aime.
Ce n’est pas encore fini : bien que les mots de passe des comptes d’utilisateurs de CloudPets aient été cryptés, l’application d’inscription ne comportait aucune exigence de sécurité, comme l’inclusion de symboles et de chiffres ou même un nombre minimum de caractères. Cela signifie que “a” pourrait très bien être le mot de passe de quelqu’un.
O tutoriel vidéo l’application utilise même “qwe” comme mot de passe. Et il n’en a pas donné d’autres : Hunt a réussi à casser plusieurs mots de passe par la force brute et en a découvert plusieurs comme “123456”, “abc123”, “password” et même “qwe” lui-même.
Mais calmez-vous, ce feuilleton n’est pas encore terminé : o The Register a révélé une faille de sécurité dans l’API Web Bluetooth utilisée par l’application pour enregistrer, envoyer et recevoir des messages vocaux. La vulnérabilité permettait à tout utilisateur suffisamment proche d’envahir le jouet. Après l’accès, la personne pouvait guider le jouet pour enregistrer ce qu’il écoutait à l’intérieur de la maison et aussi faire passer n’importe quel message. Voyez comment dans la vidéo ci-dessous :
Paul Stone, le chercheur en sécurité qui a découvert la faille et enregistré la vidéo ci-dessus, montre que tout navigateur doté d’un accès Bluetooth et de la possibilité d’enregistrer et de lire des fichiers audio peut établir la connexion. Il dit au le Register que lors de la configuration du gadget par l’application officielle, il est nécessaire de serrer la patte pour compléter l’appariement. Mais il a réussi à tricher avec le code.
La page que vous voyez dans la vidéo est disponible sur GitHub, où vous pouvez contrôler entièrement le gadget (y compris la DEL du cœur). Pouvez-vous imaginer qu’un proche de votre maison enregistre ce qui s’y passe et vous envoie des audios de folie ? La peur.
Au moins, les résultats de la base de données ne sont plus accessibles au public. Mais ce n’est pas une bonne nouvelle : en fait, la base a été modifiée et supprimée par des pirates qui ont crypté les informations et demandé une rançon, comme l’explique M. Hunt.
En cherchant une réponse auprès de Spiral Toys, la société à l’origine de CloudPets, les experts n’ont pas obtenu grand-chose. One journaliste de Motherboard ami de Hunt essaie de contacter la société depuis le 30 décembre de l’année dernière et ce n’est qu’après le poste de Hunt qu’ils ont obtenu une réponse.
En gros, la société a d’abord essayé de nier l’attaque, en disant que les messages vocaux n’étaient pas consultés, qu’il était acceptable d’utiliser de petits mots de passe et qu’ils n’avaient pas été avertis du problème. Puis Mark Meyer, le PDG de la société, a déclaré qu’il préférait ne pas parler “avec un étranger au sujet d’une fuite de données.
Dans un autre communiqué, la société a nié que tous les messages vocaux aient été obtenus et a déclaré qu’elle contacterait les utilisateurs au sujet de cette défaillance. Toute cette fuite pourrait même engager la responsabilité pénale de l’entreprise : en Californie, où se trouve Spiral Toys, les entreprises sont tenues d’informer les utilisateurs si leurs informations personnelles ont été obtenues par des personnes non autorisées.
La situation est préoccupante pour Spiral Toys, qui est en déclin depuis un certain temps. Leurs actions valent 0,005 € et leur valeur marchande actuelle est inférieure de 99 % à celle déjà atteinte. Serait-ce la fin ?
