Gare aux jouets connectés. Ces dernières semaines, plusieurs affaires concernant ces produits ont mis en lumière le peu de sécurité des communications qui sont échangées au travers de ces jouets. Les autorités allemandes ont ainsi alerté les parents concernant une poupée, Cayla, que des malandrins pourraient exploiter pour espionner toute la famille. VTech, constructeur de jouets basé à Hong-Kong, a perdu les données de 6,3 millions enfants et près de 5 millions de parents… notamment des selfies et des discussions familiales.

L’actualité jette maintenant une lumière crue sur la gamme de peluches connectées CloudPets. Ces jouets permettent d’échanger des messages en famille, via une application mobile (pour les parents) et la peluche (pour les enfants). Innocent au premier abord… sauf que la base de données a été piratée. Plus de 800 000 comptes ont été compromis, ainsi que plus de deux millions de messages vocaux échangés à travers ces dispositifs, rapporte Motherboard.

Entre Noël et la première semaine de janvier, les données de ces jouets fabriqués par Spiral Toys se sont retrouvées en libre service, laissées sans protection derrière un firewall ou des mots de passe. Ces informations à l’air libre comprenaient les identifiants et mots de passe ; même si ces derniers sont protégés par l’algorithme de hachage bcrypt, un grand nombre d’entre eux sont relativement faibles, ce qui ouvre la possibilité de les craquer facilement.

D’après des chercheurs en sécurité, si les messages vocaux ne sont pas stockés à même la base de données (ils le sont dans un espace Amazon S3 qui ne requiert aucune identification), il est relativement simple de les récupérer si l’on est suffisamment motivé. Il suffit en fait de deviner l’URL des fichiers… Quant à Spiral Toys, l’entreprise est impossible à joindre, il semble même qu’elle soit tout simplement en faillite.