Les objets connectés concernent de plus en plus de consommateurs, et même les enfants sont désormais la cible des fabricants qui souhaitent leur proposer des jouets et articles de plus en plus perfectionnés.
C'est le cas de Spiral Toys qui a lancé sur le marché il y a plusieurs mois déjà une gamme de peluches connectées baptisée CloudPet. La gamme se compose de diverses peluches représentant des animaux (4 modèles au total) qui ont la capacité de restituer aux enfants un ensemble de phrases dictées par les parents.
Une application permet de synchroniser le jouet avec une application, les phrases des parents étant stockées sur des serveurs distants.
Malheureusement, ces serveurs ont fait l'objet d'un piratage qui a permis aux pirates de s'emparer d'un ensemble de données relatives à 800 000 comptes utilisateur. Pour être plus précis, il ne s'agit pas véritablement d'un piratage, mais plutôt d'une négligence, puisque les données étaient stockées sur une base de données MongoDB libre d'accès sécurisée par aucun mot de passe.
Des individus ont ainsi pu se saisir des emails, mots de passe et autres données que les familles avaient renseignés au moment de créer leur compte. On note également la fuite de quelque 2,2 millions de messages vocaux échangés entre les parents et leurs enfants à travers les peluches.
La base de données aurait été récupérée une première fois, et les assaillants auraient organisé une tentative d'extorsion auprès de Spiral Toys. La société a confirmé que sa base de données avait bien été exposée sur Internet, tout en assurant que les messages vocaux n'avaient pas été compromis.
Reste que l'affaire fait grand bruit et que le danger que représentent ces jouets connectés est bien réel. Selon l'expert Paul Stone qui s'exprimait sur ce sujet sur MotherBoard, il suffit de se placer à quelques mètres du jouet et de s'y connecter avec un smartphone pour le transformer en mouchard capable d'espionner les conversations et de les envoyer vers n'importe quel serveur sous la forme de messages de 40 secondes.
