VTech et Hello Barbie : jouets connectés, enfants en danger
Les jouets connectés sont dans l'oeil du cyclone à quelques jours des fêtes de Noël. Première victime, VTech, spécialiste de jouets hi-tech comme des tablettes. La firme de Hong-Kong a annoncé qu'une de ses bases de données clients avait été piratée en exposant 5 millions de comptes d'adultes. Pire encore, les comptes de 6,4 millions d'enfants ont été compromis avec à la clé des photos, des messages, des identifiants, des adresses, des dates de naissance. Et la France n'est pas épargnée avec plus e 800 000 comptes compromis. Au total, 190 Go de données ont été exfiltrées par un ou des cybercriminels.
Les États-Unis se sont inquiétés de ce piratage en diligentant plusieurs enquêtes. De son côté, VTech a recruté FireEye pour en savoir plus sur ce qui s'est passé et sécuriser correctement son infrastructure IT. Le constructeur a déjà fait son mea culpa en expliquant, que sa base de données n'était pas « protégée comme elle aurait dû l'être ». Pour en rajouter, des chercheurs du site PenTestServer ont découvert plusieurs failles dans la tablette de VTech Innotab.
Hello Barbie, une smart poupée faillible
Autre jouet dans la spirale de la tourmente sécuritaire, Barbie ou plus exactement sa version « intelligente », Hello Barbie. Cette poupée disponible aux Etats-Unis a la particularité de disposer d'un micro, pour dialoguer avec un enfant. Connectée à Internet, elle envoie les demandes de l'enfant dans un Cloud pour être analysées via de l'intelligence artificielle et apporter une réponse rapidement. Un groupe américain de défense des enfants, Free Childhood, s'est ému de ce jouet en pointant du doigt l'absence de sécurité et de contrôle des données stockées dans le Cloud. « Tout ce que votre enfant dit est transmis à des serveurs distants où tout sera stocké et analysé par ToyTalk, le partenaire technologique de Mattel », informe Free Childhood.
Mais au-delà des questions de stockage des données, la société BlueBox Security et le chercheur indépendant Andrew Hay ont mis en évidence de multiples failles dans les applications iOS et Android qui fonctionnent avec la poupée, mais également du côté des serveurs de ToyTalk. Sur les apps, ils constatent que les mots de passe sont les mêmes pour tout le monde pour vérifier les certificats. De plus, les smartphones se connectent à des réseaux WiFi non sécurisés à condition de mettre le nom Barbie. Il est donc facile de créer un hub WiFi Barbie et de détourner le trafic réseau. Les chercheurs relativisent néanmoins l'ampleur du problème en précisant que l'interception ne peut se faire que quand la poupée se connecte au réseau WiFi. Enfin, les apps intègrent du code non utilisé mais qui augmente la surface d'attaque.
Les serveurs de ToyTalk ne sont pas mieux lotis en étant exposés au bug Poddle (Padding Oracle On Downgraded Legacy Encryption), découvert en octobre 2014. Cette faille réside dans SSL 3.0, un protocole de chiffrement très employé dans les navigateurs et les sites web, qui date de près de 18 ans. Or depuis l'hiver dernier, les responsables de ToyTalk n'avaient pas corrigé cette faille sur les serveurs. L'intervention de BlueBox Security et du chercheur indépendant ont permis à ToyTalk de rectifier le tir et à Mattel, le constructeur des Barbie, de corriger plusieurs vulnérabilités.
30 à 40 dollars pour un profil enfant
Il n'en demeure pas moins que ces affaires VTech et Hello Barbie mettent en exergue le problème de la sécurité des données des enfants. Dans le cas de VTech, le pirate se revendiquant à l'origine de l'intrusion et du vol de données, a indiqué à nos confrères de MotherBoard que « tous les éléments laissent à penser que je n'étais pas le seul à l'extérieur de VTech à obtenir des données ». Souhaitant juste éprouver la sécurité du constructeur chinois, le pirate a précisé qu'il n'était pas dans son intention de revendre ou de publier les données sur le web.
Mais si d'autres personnes ont volé des informations sur les comptes des enfants, comme le suggère le pirate de VTech, alors le scénario pourrait prendre une tournure plus néfaste. On pense bien évidemment à du trafic d'images pour des pédophiles sur le Dark Web, avec tous les risques adjacents comme la sociale ingénierie. Mais les données sur les enfants sont une pépite pour les fraudeurs. Sur le marché noir, le package nom, date de naissance, adresse e-mail et numéro de sécurité sociale d'un enfant s'échange pour 30 à 40 dollars. Pour les adultes, ce montant s'élève à 20 dollars. Une étude de l'université de Carnegie Mellon en 2011 montrait que 10% des échantillons de numéro de sécurité sociale d'enfants dérobés étaient associés à de la fraude, une proportion 10 fois plus élevée que chez les adultes.
Ces piratages et faiblesses dans la sécurité des jouets connectés lancent une alerte à la fois aux constructeurs et aux parents. Pour les premiers, ils ne peuvent pas rester en dehors des bonnes pratiques sur la sécurité des objets connectés et mener des audits pour corriger les failles découvertes. Pour les seconds, ils sont en première ligne pour être vigilant sur le niveau d'exposition des données de leurs enfants. Une nécessaire pédagogie qui peut devenir une bonne résolution pour l'année 2016.
A lire aussi :
Piratage de VTech : des questions et des failles
5 millions de comptes piratés sur l'App Store de Vtech
Crédit Photo : Shkljoc - Shutterstock
Sur le même thème
Voir tous les articles Actualités