X

News Partenaire

Entreprises : protégez vos données avant d’en payer le prix fort !

Si personne ne peut contester l’importance des données pour le développement de l’entreprise, leur traitement et leur sauvegarde sont, dans bien des cas, effectués avec grande négligence. Une situation d’autant plus préoccupante que le nombre de données détenues par les entreprises ne cesse d’augmenter et que les attaques de pirates pour s’en emparer se multiplient, se faisant chaque fois plus violentes. Ransomwares, chevaux de Troie, Malwares sont autant de formes d’attaques qui peuvent porter préjudice à l’entreprise, paralyser ses activités et lui faire regretter de ne pas avoir mieux protégé ses données, une attitude désinvolte qui n’est pas sans conséquences.

La poupée Barbie hackée

Des chercheurs en sécurité ont trouvé de sérieuses failles de sécurité dans Hello Barbie, le nouveau système de communication de la célèbre poupée qui utilise de l’intelligence artificielle pour répondre à l’enfant. Outre les problèmes de sécurité qui semblent patents se pose également la question du stockage de ces données très personnelles dans le cloud et par une société tierce.

A l’instar d’autres jouets connectés, la Barbie qui parle promet d’être l’une des meilleures ventes de Noël. Présenté au printemps dernier, le système de discussion de la célèbre poupée qui fête cette année ses 56 ans a été développé en collaboration avec la société ToyTalk. Mais des chercheurs en sécurité qui se sont penchés sur la demoiselle ont découvert de sérieuses failles de sécurité, le tout sans compter les principes « éthiques » quant à la conservation par des tiers de propos d’enfants qui se confient à leur poupée en toute innocence. Débutons d’ailleurs par ce débat qui commence – il serait temps – à se faire jour. 

En effet, le système d’intelligence artificielle qui équipe la poupée lui permet de répondre « intelligemment » à des questions ou interrogations de sa (généralement) propriétaire. Comme avec les systèmes qui équipent nos smartphones (Siri, Cortana, Google Now), ils deviennent de plus en plus précis et pointus au fur et à mesure de leur utilisation et des informations dont ils disposent petit à petit. Et c’est précisément là où cela pose un sérieux problème. En effet, un enfant va se confier totalement à sa poupée et toutes ces informations vont donc atterrir dans un cloud dont on ne sait pas grand-chose, excepté que c’est un gruyère – nous y reviendrons. Pour le moment réservée aux USA, la Barbie bavarde a déjà attiré l’attention d’associations de protection de l’enfance, mais pas tellement pour les problèmes éthiques ou moraux que nous venons d’évoquer mais pour des questions de sécurité des informations. Et il y a effectivement du grain à moudre surtout si l’on ajoute ce qui vient de se passer avec la société Vtech qui vient de se faire pirater plus de 6 millions d’adresses relatives à ses clients.

Des failles multiples

Concernant Barbie, le chercheur indépendant Andrew Hay et Bluebox Security ont mis en évidence de sérieuses failles dans le système mis en place par ToyTalk, le partenaire technologique de Mattel. Selon eux, il est possible, voire facile, de s’emparer des conversations stockées dans le cloud mis en place à cette occasion. Preuve que la chose est prise très au sérieux par Mattel, l’entreprise n’a pas tardé à réagir en indiquant par une communication écrite de la porte-parole Michelle Chidoni « être au courant du rapport de Bluebox Security et assure travailler étroitement avec ToyTalk pour garantir la sûreté et la sécurité de Hello Barbie ».

Le co-fondateur et CTO de ToyTalk a précisé au Washington Post collaborer avec Bluebox depuis la mi-novembre et avoir corrigé la plupart des failles mises en évidence. Toutefois, comme l’indiquent nos confrères et comme nous l’avons également signalé plus haut, tout ceci intervient après que des données concernant 6 millions d’enfants aient été dérobées au fabricant de jouet de Hong Kong VTech.

Des milliers de phrases pré-enregistrées

Le principe de fonctionnement de Hello Barbie est le suivant. Lorsque l’enfant presse un bouton situé sur le ventre de la poupée, elle peut lui parler et le fichier audio est envoyé à un serveur via Internet. La poupée répond alors au travers des milliers de phrases préenregistrées et stockées dans le cloud ToyTalk. Pour activer cette fonction, les parents doivent accepter les termes d’utilisation et configurer la Barbie via une application mobile. Cette application contient elle-même un certain nombre de problèmes de sécurité, y compris au niveau des certificats numériques, sensés vérifier et confirmer la légitimité de la connexion entre la poupée et l’application. Le problème est que le mot de passe est le même pour tout le monde. D’autres problèmes existent, notamment la possibilité de créer un hub WiFi Barbie, n’ayant rien à voir avec la poupée, mais qui pourra dès lors être utilisé pour dérober les données transitant par ce réseau, même si le risque est faible puisque concerne uniquement les quelques minutes où l’utilisateur connecte la poupée au réseau. Il n’empêche : cela fleure bon l’amateurisme et le manque de considération pour la sécurité de l’application. D’autres failles plus graves existaient également comme la possibilité de mettre en place une attaque de type POODLE, faille corrigée depuis.

Dans le radar de la FTC

Finalement, la carrière commerciale de la Barbie « causeuse » pourrait s’arrêter brutalement, des juristes et associations de protection de l’enfance arguant qu’elle ne protège pas de manière adéquate les informations d’enfants de moins de 12 ans telles que stipulées par le Children’s Online Privacy Protection Act. A priori, la FTC (Federal Trade Commission) s’est désormais saisie de l’affaire et pourrait prendre des mesures drastiques comme l’interdiction de la commercialisation tant que des gages crédibles quant à la sécurité ne seront pas donnés.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Objets connectés

Dossier L'1FO

RGPD : serez-vous prêt ? (1)

Le Règlement européen sur la Protection des Données (RGPD) est d’abord un texte de 88 pages. il constitue l’un des plus grands chantiers informatiques de ces dernières années. Imposé à toutes les entreprises qui traitent des données personnelles de citoyens européens, il crée plusieurs impératifs, en termes de transparence sur les données par exemple. Formant le nouveau cadre d’investissements majeurs, il n’est pas que contraintes et ouvre aussi la voie à une relation entreprise-client réinventée. Article paru dans le n°157 de L’Informaticien.

Afficher tous les dossiers
Offres d'emploi
RSS
12

Lancez votre recherche sur la rubrique Emploi avec notre partenaire

News Mag-Securs
12345

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

STOCKAGE CLOUD : un casse-tête pour la DSI ! - Règlement européen RGPD : la parole aux entreprises qui s'y mettent - Microsoft Build : toutes les annonces - Wanacrypt : récit d'une cyberattaque historique - French Tech Brest+ - Nginx, nouveau standard de serveur web - Chatbots : l'interface de demain ?...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Le milliardaire Elon Musk, le 19 juillet 2017 à WashingtonUne centaine de responsables d'entreprises de robotique ou spécialisées dans l'intelligence artificielle, dont le milliardaire Elon Musk, ont écrit une lettre ouverte aux Nations Unies pour mettre en garde contre les dangers des armes autonomes, surnommées "robots tueurs". [Sommaire]

Des iPhones Apple vendus à Singapour, le 27 mai 2017Apple et Samsung, qui vont prochainement dévoiler de nouveaux smartphones, sont toujours à la recherche de la formule magique pour préserver leur domination face à la concurrence chinoise, sur fond de ralentissement du marché. [Sommaire]

Antoine Blondeau, le co-fondateur de Sentient Technologies, plateforme spécialisée dans l'Intelligence artificielle à Hong Kong, le 12 juillet 2017 C'est l'année 2050 et vous êtes au centre du monde. Du contenu du frigo à la température du salon, des assistants numériques assurent la bonne marche de la maison. Les écrans diffusent les émissions que vous voulez voir dès que vous entrez dans la pièce. Votre voiture n'a pas de chauffeur et votre barman préféré est peut-être un androïde. [Sommaire]

Patron emblématique mais controversé, Travis Kalanick avait dû démissionner en juin sous la pression d'investisseurs soucieux de redorer l'image d'UberL'ex-patron d'Uber Travis Kalanick, poursuivi en justice par un important investisseur du groupe de réservation de voitures avec chauffeur, affirme être victime d'une attaque personnelle destinée à l'écarter complètement et demande l'arrêt de la procédure. [Sommaire]

L'action du géant informatique indien Infosys a plongé à la Bourse de Bombay après l'annonce de la démission de son PDG Vishal Sikka Le géant informatique indien Infosys a annoncé vendredi la démission de son PDG Vishal Sikka, sur fond de relations délétères avec certaines figures historiques de l'entreprise. [Sommaire]

Une rue de la ville de Hangzhou, dans l'est de la Chine, le 4 septembre 2016La Chine a lancé vendredi son premier "tribunal sur internet": il est destiné à régler les litiges relatifs au web, à l'heure où la justice fait face à l'explosion des paiements mobiles et du commerce électronique. [Sommaire]

Le téléchargement ou le streaming illégal de séries telles que La justice australienne a ordonné vendredi aux fournisseurs d'accès internet de bloquer plus de 40 sites internationaux de piratage permettant d'accéder gratuitement à des séries, films et autres contenus. [Sommaire]

Apple s'apprête à investir 1 million de dollars pour produire des contenus vidéo en streamingAmazon, Facebook, et maintenant Apple : les géants technologiques investissent des milliards de dollars pour produire leurs propres contenus vidéo en streaming et attirer les consommateurs, rendant les frontières entre chaînes, services de streaming et studios de production de plus en plus poreuses. [Sommaire]

Ecran sur mobile de Yuebao, l'un des services de la plate-forme de paiement en ligne Alipay, appartenant à AlibabaAlibaba, le numéro un chinois de la vente en ligne, a vu son bénéfice net quasiment doubler  au premier trimestre, performance meilleure qu'attendu sur fond de croissance robuste des transactions mobiles en Chine. [Sommaire]

Des épisodes spéciaux de deux séries animées, C'est un instinct naturel pour les fans de cinéma: vouloir hurler au personnage qu'il attrape la mauvaise valise, qu'il a oublié les piles de sa lampe de poche ou que le méchant n'est pas mort comme il le croit. [Sommaire]

Toutes les dépêches AFP

AgendaIT

IFA

Le plus grand salon professionnel européen de l'électronique grand public a lieu à Berlin du 3 au 6 septembre 2017. Organisé par Messe Berlin.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.
Conférence francophone sur la méthodologie "devops" en entreprise le 2 octobre 2017 à Paris (Grand Rex). Organisé par devopsdays.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

HUBFORUM

Deux jours de conférences, de workshops et de networking pour tirer parti des meilleures pratiques du marché à Paris, Maison de la Mutualité les 10 et 11 octobre 2017. Organisé par Hub Institute.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.
Voir tout l'AgendaIT