CloudPets : faille de sécurité dans des jouets connectés

Pour les 821 296 personnes qui ont acheté des jouets connectés tels que CloudPets, il s’agit sans doute d’une excellente façon d’échanger des messages vocaux intimes avec leurs enfants grâce à ce que l’on appelait autrefois “l’Internet”.

Un CloudPets est simple à utiliser. Le parent ou l’enfant parle dans un micro placé à l’intérieur du jouet, et qui utilise une interface Bluetooth pour télécharger l’enregistrement au niveau d’un stockage Cloud via une application smartphone sous Android ou iOS rattachée à un compte. Les destinataires téléchargent et écoutent le message sur un deuxième jouet connecté CloudPets.

Mais dans cette nouvelle mode d’intégrer l’internet des objets à l’intérieur des jouets, un sérieux problème de sécurité est apparu.

Un expert, Troy Hunt, aurait entendu dire que les bases de données contenant tous les comptes d’utilisateurs et potentiellement jusqu’à 2,2 millions de messages vocaux, auraient été compromis par des cybercriminels, qui les auraient trouvés à l’état non protégé aux alentours de Noël, en utilisant tout simplement le moteur de recherche pour objets connectés Shodan.

Pire encore, de nombreuses personnes ont eu accès aux bases de données exposées, dont certaines auraient demandé des rançons à la société mère après les avoir supprimées de façon similaire à une série d’attaques récentes sur des installations appartenant à MongoDB.

Ces bases de données n’avaient pas de systèmes d’authentification, mais les profils de compte étaient au moins protégés avec des mots de passe hachés, utilisant Bcrypt, un algorithme sécurisé.

Mais, comme Hunt l’a découvert après les avoir passé par Hashcat, l’absence de règles concernant les mots de passe rendait ces derniers totalement inefficaces avec notamment “qwerty”, “password”, “123456”, “qwe” et “cloudpets”, qui correspondaient au final à un grand nombre de hashs. Cela rendait tous les enregistrements bien sûr vulnérables.

Nous ne sommes pas vraiment surpris. À la fin 2015, le fabricant de jouets VTech avait été victime d’une faille de sécurité massive, impliquant à nouveau des données recueillies à partir d’un dispositif pour enfants et rendues publiques par Hunt. Dans la foulée est arrivée la Barbie piratable, et il y a quelques jours de cela le watchdog des télécommunications en Allemagne a marqué au fer rouge le dispositif de surveillance sous l’apparence de la poupée Cayla, en raison de sa mauvaise sécurité.

Troy Hunt décrit ce fiasco au niveau de la fabrication :

Il suffit d’une petite erreur au nom de la conservation des données, à savoir une mauvaise configuration de la sécurité de la base de données, et chaque élément de données détenu sur vous et votre famille, peut apparaitre dans le domaine public en quelques minutes.

Comme pour compliqué encore la situation, le chercheur qui avait informé Hunt en premier lieu au sujet de la faille de sécurité, avait tenté d’alerter CloudPets, et ce à trois reprises, mais sans réponse. Un deuxième chercheur a également tenté de contacter CloudPets dès le 30 décembre, sans succès.

Ce n’est peut-être pas étonnant que CloudPets ait été difficile à joindre, étant donné que ses systèmes semblent avoir été assemblés par commodité, à partir d’éléments gérés par des entités différentes.

Les conseils de Naked Security pour les utilisateurs de CloudPets qui veulent continuer à utiliser les jouets connectés, est de changer immédiatement leur mot de passe afin de les sécuriser.

S’il devait y avoir une morale, ce serait pour les parents de ne plus acheter des jouets connectés auprès de n’importe quel fabricant jusqu’à ce que certaines normes soient développées, et avant que les attitudes à l’égard de la sécurité ne changent.

Enfin, les entreprises devraient être en mesure de converger vers un système de divulgation responsable, afin que les chercheurs disposent d’une méthode pour communiquer les vulnérabilités qu’ils trouvent. À l’heure actuelle, très peu semblent avoir de tels systèmes et ne sont donc pas dignes de confiance, un sentiment d’ailleurs que certains étendrait volontiers à presque tous les objets connectés !

Comme nous aimons le dire chez Naked Security pour beaucoup de sujets d’ailleurs : “En cas de doute, ne divulguez rien”.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Data and kids’ voice messages exposed in CloudPets breach, par John E Dunn, Sophos NakedSecurity.