Nouvel incident de sécurité impliquant des objets connectés. Les Cloudpets, ours, lapins chats, chiens et autres entités de l'univers des tous petits, fabriqués par la société américaine Spiral Toys, ont fait l'objet de vols de données personnelles.

Sympathiques les Cloudpets. Ils permettent aux parents d'enregistrer un message pour leurs enfants sur leur smartphone, message ensuite envoyé aux enfants, qui à leur toour, en serrant la papatte de la bestiole, peuvent enregistrer un message qui arrivera sur le smartphone des parents.

Mais tout cela se configure, ce qui implique adresse mail et mot de passe. Autant de données qui peuvent être volées, sans parler des messages enregistrés.

Spiral Toys admet un incident de sécurité. Au cours de travaux de maintenance effectués par des développeurs tiers, des données ont exposées par une base de données temporaires lors d'une migration, ceci entre Noël et début janvier 2017.

Comme toujours lors de ce genre d'incident, la société minimise. Certes des noms d'utilisateurs, adresses email et mot de passe, ces derniers cryptés, ont été volés. Mais ces mots de passe, puisque cryptés, ne sont pas utilisables, sauf circonstances exceptionnelles est-il précisé. Les messages vocaux n'ont pas été volés, et la société n'a pas été rançonnée pour récupérer les données volées

Les sons de cloches de The Guardian et d'un chercheur en sécurité sont très différents. Selon eux, les 800 000 utilisateurs de Cloudpets sont potentiellement victimes du piratage, une rançon a bien été demandée afin que les données volées ne soient publiées, et ce que Spiral Toys appelle des circonstances exceptionnelles, semble être tout simplement des mots de passe extrêmement simples, facile à deviner ou à décoder. Quant aux messages vocaux, selon Troy Hunt, le chercheur mentionné ci-dessus, ils étaient stockés sur un système MongoDB sans mot de passe, accessible publiquement sur Internet, à tel point que les messages ont été indexés par le moteur de recherche Shodan.

Cet incident pose donc une nouvelle fois la question de la sécurité des objets connectés ainsi que des mauvaises pratiques des utilisateurs. D'ailleurs, dans son mea culpa Spiral Toys recommande à ses clients l'usage de mot de passe forts. Mais sans doute le logiciel de ces produits connectés devrait-il l'exiger, en informant les utilisateurs du bien fondé de cette exigence, afin de limiter les circonstances exceptionnelles...