X
News Partenaire Paessler
Les solutions de surveillance réseau

Ce que vous devez savoir sur les solutions de surveillance des infrastructures informatiques des PME. [Lire l'article...]

La poupée Barbie hackée

Des chercheurs en sécurité ont trouvé de sérieuses failles de sécurité dans Hello Barbie, le nouveau système de communication de la célèbre poupée qui utilise de l’intelligence artificielle pour répondre à l’enfant. Outre les problèmes de sécurité qui semblent patents se pose également la question du stockage de ces données très personnelles dans le cloud et par une société tierce.

A l’instar d’autres jouets connectés, la Barbie qui parle promet d’être l’une des meilleures ventes de Noël. Présenté au printemps dernier, le système de discussion de la célèbre poupée qui fête cette année ses 56 ans a été développé en collaboration avec la société ToyTalk. Mais des chercheurs en sécurité qui se sont penchés sur la demoiselle ont découvert de sérieuses failles de sécurité, le tout sans compter les principes « éthiques » quant à la conservation par des tiers de propos d’enfants qui se confient à leur poupée en toute innocence. Débutons d’ailleurs par ce débat qui commence – il serait temps – à se faire jour. 

En effet, le système d’intelligence artificielle qui équipe la poupée lui permet de répondre « intelligemment » à des questions ou interrogations de sa (généralement) propriétaire. Comme avec les systèmes qui équipent nos smartphones (Siri, Cortana, Google Now), ils deviennent de plus en plus précis et pointus au fur et à mesure de leur utilisation et des informations dont ils disposent petit à petit. Et c’est précisément là où cela pose un sérieux problème. En effet, un enfant va se confier totalement à sa poupée et toutes ces informations vont donc atterrir dans un cloud dont on ne sait pas grand-chose, excepté que c’est un gruyère – nous y reviendrons. Pour le moment réservée aux USA, la Barbie bavarde a déjà attiré l’attention d’associations de protection de l’enfance, mais pas tellement pour les problèmes éthiques ou moraux que nous venons d’évoquer mais pour des questions de sécurité des informations. Et il y a effectivement du grain à moudre surtout si l’on ajoute ce qui vient de se passer avec la société Vtech qui vient de se faire pirater plus de 6 millions d’adresses relatives à ses clients.

Des failles multiples

Concernant Barbie, le chercheur indépendant Andrew Hay et Bluebox Security ont mis en évidence de sérieuses failles dans le système mis en place par ToyTalk, le partenaire technologique de Mattel. Selon eux, il est possible, voire facile, de s’emparer des conversations stockées dans le cloud mis en place à cette occasion. Preuve que la chose est prise très au sérieux par Mattel, l’entreprise n’a pas tardé à réagir en indiquant par une communication écrite de la porte-parole Michelle Chidoni « être au courant du rapport de Bluebox Security et assure travailler étroitement avec ToyTalk pour garantir la sûreté et la sécurité de Hello Barbie ».

Le co-fondateur et CTO de ToyTalk a précisé au Washington Post collaborer avec Bluebox depuis la mi-novembre et avoir corrigé la plupart des failles mises en évidence. Toutefois, comme l’indiquent nos confrères et comme nous l’avons également signalé plus haut, tout ceci intervient après que des données concernant 6 millions d’enfants aient été dérobées au fabricant de jouet de Hong Kong VTech.

Des milliers de phrases pré-enregistrées

Le principe de fonctionnement de Hello Barbie est le suivant. Lorsque l’enfant presse un bouton situé sur le ventre de la poupée, elle peut lui parler et le fichier audio est envoyé à un serveur via Internet. La poupée répond alors au travers des milliers de phrases préenregistrées et stockées dans le cloud ToyTalk. Pour activer cette fonction, les parents doivent accepter les termes d’utilisation et configurer la Barbie via une application mobile. Cette application contient elle-même un certain nombre de problèmes de sécurité, y compris au niveau des certificats numériques, sensés vérifier et confirmer la légitimité de la connexion entre la poupée et l’application. Le problème est que le mot de passe est le même pour tout le monde. D’autres problèmes existent, notamment la possibilité de créer un hub WiFi Barbie, n’ayant rien à voir avec la poupée, mais qui pourra dès lors être utilisé pour dérober les données transitant par ce réseau, même si le risque est faible puisque concerne uniquement les quelques minutes où l’utilisateur connecte la poupée au réseau. Il n’empêche : cela fleure bon l’amateurisme et le manque de considération pour la sécurité de l’application. D’autres failles plus graves existaient également comme la possibilité de mettre en place une attaque de type POODLE, faille corrigée depuis.

Dans le radar de la FTC

Finalement, la carrière commerciale de la Barbie « causeuse » pourrait s’arrêter brutalement, des juristes et associations de protection de l’enfance arguant qu’elle ne protège pas de manière adéquate les informations d’enfants de moins de 12 ans telles que stipulées par le Children’s Online Privacy Protection Act. A priori, la FTC (Federal Trade Commission) s’est désormais saisie de l’affaire et pourrait prendre des mesures drastiques comme l’interdiction de la commercialisation tant que des gages crédibles quant à la sécurité ne seront pas donnés.


Inscription gratuite à la newsletter de L'Informaticien.

Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Objets connectés

Actuellement à la Une...
Enquête Express Présidentielle
Parmi les candidats à l'élection présidentielle quel est celui qui accorde selon vous le plus d'importance au numérique, à l'IT et à la high tech dans son programme et les réformes envisagées ?











Voter  Afficher les résultats
Votre vote, unique, reste confidentiel.
Dossier L'1FO

Devenir développeur web en 5 mois, c’est possible !

La Wild Code School propose une formation accélérée au métier de développeur web. Avec 80 % d’embauches à la sortie de l’école, cette formule offre une réponse à la pénurie de développeurs en France. Elle s’adresse principalement à des salariés à la recherche de nouvelles perspectives professionnelles sur un secteur en forte demande.

Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire



LIVRES BLANCS

Visualisation et gestion des projets et des connaissances avec MindManager Enterprise et Microsoft SharePoint, un Livre Blanc Mindjet-Corel.

Découvrez dans ce Livre Blanc comment vous bénéficiez, en tant qu’utilisateur, de l’intégration entre MindManager Enterprise et Microsoft SharePoint. Deux des principaux domaines d’application sont mis en évidence : d’une part les maps d’informations, de navigation et de connaissances, et d’autre part les maps de gestion de projet avec des tâches SharePoint synchronisées. 

 


HPE 3PAR : Le stockage 100%  flash de référence, un Livre Blanc HPE.

Avec un volume de données augmentant de 40% par an dans l’ensemble des entreprises et une demande des utilisateurs de pouvoir y accéder depuis n’importe quel terminal (PC, tablettes, smartphones), les solutions Flash tendent à devenir incontournables. Découvrez dans ce livre blanc pourquoi HPE 3PAR est devenue la solution de référence pour les entreprises soucieuses de réaliser leur transformation numérique dans les meilleures conditions possibles.

 


Déployer rapidement un micro datacenter, un Livre Blanc Schneider Electric. 

Ce document traite de la mise en place d'améliorations réalistes au niveau de l'alimentation, du refroidissement des racks, de la sécurité physique, de la surveillance et de l'éclairage. Il se concentre sur les petites salles serveurs et succurscales de 10kW de charge informatique maximum.


Apporter des solutions aux préoccupations relatives à la cybersécurité
des plates-formes de surveillance à distance des datacenters
, un Livre Blanc Schneider Electric. 

Les services de surveillance à distance numérique permettent de surveiller et d'analyser en temps réel, les données des systèmes d'infrastructures physisques des datacenters.

Ce document décrit les aspects de sécurité clés liés au développement et à l'exploitation de plates-formes de surveillance à distance reposant sur le cloud qui protègent la confidentialité des données et la sécurité des systèmes d'infrastructures contre les attaquants. 


Le stockage flash au service des applications cloud, Un Livre Blanc PureStorage.

Le cloud computing transforme la façon dont les organisations développent et distribuent des applications. Les équipes de développement peuvent utiliser des clouds privés, publics ou hybrides afin de configurer rapidement de nouvelles infrastructures qui n'interfèrent pas avec les ressources ou opérations existantes. 


Tous les Livres Blancs
Le Kiosque

GESTION DES SERVICES IT / ITSM : la DSI face à ses multiples défis - Cyberdéfense : la France renforce son arsenal - Nantes Tech : on y joue collectif ! - Solutions analytiques : quels besoins pour quels métiers ? - Le BASIC se découvre une nouvelle jeunesse - Quelles compétences recherchent les ESN en 2017 ? - Rencontre avec Laurent Leloup, auteur de «Blockchain : la révolution de la confiance»...

 

CLOUD SOUVERAIN : mythes et réalités - Cas pratique : quand les données partent en balade... - Choisir sa solution d'Emailing - Apps mobiles : créez-les sans coder ! - Bootstrap : l'étincelle qui va faire briller vos sites Web - Rencontre avec Ludovic Le Moan (Sigfox) : "Il n'est pas possible d'ignorer la transformation sociale liée à l'IoT" - Les technos grand public qui vont percer en 2017...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Un enfant souffrant de malnutrition nourri par sa mère à l'hôpital de Baidoa, en Somalie, le 15 mars 2017Un jeune Français installé aux Etats-Unis et star des réseaux sociaux a réuni en quelques tweets 2 millions de dollars de dons pour affréter un avion chargé de nourriture vers la Somalie, menacée de famine par une grave sécheresse. [Sommaire]

Un visiteur du salon Grâce à la démocratisation de la réalité virtuelle (VR), les professionnels s'engouffrent sur le marché prometteur du divertissement: sports virtuels, jeux vidéo, cinéma et attractions, ces expérimentions en tous genres sont exposées jusqu'à dimanche au Salon Laval Virtual. [Sommaire]

La police israélienne a arrêté un adolescent juif soupçonné de dizaines de fausses alertes antisémites à la bombe dans le mondeLa police israélienne a annoncé jeudi l'arrestation d'un adolescent juif soupçonné de dizaines de fausses alertes antisémites à la bombe dans le monde, notamment aux Etats-Unis où une flambée de menaces a nourri les spéculations sur une montée de l'antisémitisme sous Donald Trump. [Sommaire]

Visite virtuelle de l'antique demeure de Néron à Rome, me 22 mars 2017C'est une visite virtuelle à couper le souffle, tellement réaliste qu'on pourrait presque sentir les odeurs de lavande... A Rome, les visiteurs peuvent désormais déambuler dans l'antique demeure de Néron et ses jardins, tels que l'empereur lui-même pouvait les admirer. [Sommaire]

La platine Technic SL-1200 présentée lors du Consumer electronic Show 2016 au Mandalay Bay Convention Center à Las Vegas (Nevada) le 5 janvier 2016Mythique série choyée des DJ du monde, les platines vinyle SL-1200 Technics sont de retour, prouvant un regain d'intérêt pour la haute-fidélité audio, à rebours de la pourtant récente tendance MP3. [Sommaire]

Les articles en ligne se ressemblent de plus en plus: 64% des contenus sont de purs copier-coller d'autres articles, en particulier de dépêches AFP, selon une étude.Les articles en ligne se ressemblent de plus en plus: 64% des contenus sont de purs copier-coller d'autres articles, en particulier de dépêches AFP, selon une étude portant sur 2,5 millions d'articles en 2013, publiée mercredi par l'INA. [Sommaire]

Des policiers sécurisent une zone où un crime vient d'être commis à Chicago, le 18 novembre  2016La police de Chicago recherchait mercredi jusqu'à six suspects pour le viol collectif d'une adolescente diffusé en direct sur l'application Facebook Live. [Sommaire]

Gemalto est affecté par son activité aux Etats-UnisGemalto s'écroulait mercredi à la Bourse de Paris après avoir averti que ses résultats seraient moins bons que prévu en 2017 en raison du ralentissement de ses ventes de cartes à puce aux Etats-Unis. [Sommaire]

Le 21 mars 2017 à Genève, capture d'écran du film de réalité virtuelle en 360° que l'organisation MSF a produit pour sensibiliser les politiciens et les militaires aux dangers que représentent les attaques visant des installations hospitalièresLes docteurs et les infirmières s'activent autour d'un patient avec une jambe fracturée lorsque, soudain, une explosion retentit et des cris de panique s'élèvent dans la salle plongée dans l'obscurité. Et si le patient, c'était vous ? [Sommaire]

Travis Kalanick, le patron d'Uber à New Dehli, le 16 décembre 2016Le service américain Uber, ébranlé ces dernières semaines par une série de polémiques, a réaffirmé mardi sa confiance dans son patron-fondateur Travis Kalanick, et tenté une nouvelle fois de convaincre que l'entreprise était en train de s'amender. [Sommaire]

Toutes les dépêches AFP

AgendaIT

CEBIT

Le CeBIT, plus grand salon européen de l'IT, a lieu du 20 au 24 mars 2017 à Hanovre (Allemagne). Organisé par Deutsche Messe.

CLOUD COMPUTING WORLD

Cloud Computing World Expo et Solutions Datacenter Management ont lieu conjointement les 22 et 23 mars 2017 à Paris, Paris Expo Porte de Versailles. Organisés par Cherche Midi Expo.

MtoM

Les salons MtoM & Objets Connectés et Embedded Systems ont lieu les 22 et 23 mars 2017 à Paris (Porte de Versailles, Hall 5.3). Organisés par Infopromotions.

IOT WORLD

IoT World se tient, en parallèle de Cloud Computing World Expo et de Solutions Datacenter Management, les 22 et 23 mars 2017 à Paris, Porte de Versailles. Organisée par Cherche Midi Expo.

LAVAL VIRTUAL

Salon des nouvelles technologies et usages du virtuel (réalité virtuelle et augmentée), Laval Virtual se tient du 22 au 26 mars 2017 à Laval (salle polyvalente, place de Hercé). Organisé par l'association Virtual Laval.

ACCESSECURITY

AccesSecurity, salon méditerranéen de la sécurité globale, se tient à Marseille (Chanot) du 29 au 31 mars 2017. Organisé par Safim.

DOCUMATION

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, les 29 et 30 mars 2017  à Paris Porte de Versailles Hall 2.2. Organisé par Reed Expositions.

Voir tout l'AgendaIT