X
BRAINWAVE : de l’intelligence dans la cyber

News Partenaire

BRAINWAVE : de l’intelligence dans la cyber

Un vieux proverbe dit qu’il ne faut pas confondre vitesse et précipitation. Cette maxime s’applique parfaitement à Brainwave GRC qui a su avec calme et sérénité s’imposer jour après jour comme l’un des acteurs clés de la gouvernance des identités.

La poupée Barbie hackée

Des chercheurs en sécurité ont trouvé de sérieuses failles de sécurité dans Hello Barbie, le nouveau système de communication de la célèbre poupée qui utilise de l’intelligence artificielle pour répondre à l’enfant. Outre les problèmes de sécurité qui semblent patents se pose également la question du stockage de ces données très personnelles dans le cloud et par une société tierce.

A l’instar d’autres jouets connectés, la Barbie qui parle promet d’être l’une des meilleures ventes de Noël. Présenté au printemps dernier, le système de discussion de la célèbre poupée qui fête cette année ses 56 ans a été développé en collaboration avec la société ToyTalk. Mais des chercheurs en sécurité qui se sont penchés sur la demoiselle ont découvert de sérieuses failles de sécurité, le tout sans compter les principes « éthiques » quant à la conservation par des tiers de propos d’enfants qui se confient à leur poupée en toute innocence. Débutons d’ailleurs par ce débat qui commence – il serait temps – à se faire jour. 

En effet, le système d’intelligence artificielle qui équipe la poupée lui permet de répondre « intelligemment » à des questions ou interrogations de sa (généralement) propriétaire. Comme avec les systèmes qui équipent nos smartphones (Siri, Cortana, Google Now), ils deviennent de plus en plus précis et pointus au fur et à mesure de leur utilisation et des informations dont ils disposent petit à petit. Et c’est précisément là où cela pose un sérieux problème. En effet, un enfant va se confier totalement à sa poupée et toutes ces informations vont donc atterrir dans un cloud dont on ne sait pas grand-chose, excepté que c’est un gruyère – nous y reviendrons. Pour le moment réservée aux USA, la Barbie bavarde a déjà attiré l’attention d’associations de protection de l’enfance, mais pas tellement pour les problèmes éthiques ou moraux que nous venons d’évoquer mais pour des questions de sécurité des informations. Et il y a effectivement du grain à moudre surtout si l’on ajoute ce qui vient de se passer avec la société Vtech qui vient de se faire pirater plus de 6 millions d’adresses relatives à ses clients.

Des failles multiples

Concernant Barbie, le chercheur indépendant Andrew Hay et Bluebox Security ont mis en évidence de sérieuses failles dans le système mis en place par ToyTalk, le partenaire technologique de Mattel. Selon eux, il est possible, voire facile, de s’emparer des conversations stockées dans le cloud mis en place à cette occasion. Preuve que la chose est prise très au sérieux par Mattel, l’entreprise n’a pas tardé à réagir en indiquant par une communication écrite de la porte-parole Michelle Chidoni « être au courant du rapport de Bluebox Security et assure travailler étroitement avec ToyTalk pour garantir la sûreté et la sécurité de Hello Barbie ».

Le co-fondateur et CTO de ToyTalk a précisé au Washington Post collaborer avec Bluebox depuis la mi-novembre et avoir corrigé la plupart des failles mises en évidence. Toutefois, comme l’indiquent nos confrères et comme nous l’avons également signalé plus haut, tout ceci intervient après que des données concernant 6 millions d’enfants aient été dérobées au fabricant de jouet de Hong Kong VTech.

Des milliers de phrases pré-enregistrées

Le principe de fonctionnement de Hello Barbie est le suivant. Lorsque l’enfant presse un bouton situé sur le ventre de la poupée, elle peut lui parler et le fichier audio est envoyé à un serveur via Internet. La poupée répond alors au travers des milliers de phrases préenregistrées et stockées dans le cloud ToyTalk. Pour activer cette fonction, les parents doivent accepter les termes d’utilisation et configurer la Barbie via une application mobile. Cette application contient elle-même un certain nombre de problèmes de sécurité, y compris au niveau des certificats numériques, sensés vérifier et confirmer la légitimité de la connexion entre la poupée et l’application. Le problème est que le mot de passe est le même pour tout le monde. D’autres problèmes existent, notamment la possibilité de créer un hub WiFi Barbie, n’ayant rien à voir avec la poupée, mais qui pourra dès lors être utilisé pour dérober les données transitant par ce réseau, même si le risque est faible puisque concerne uniquement les quelques minutes où l’utilisateur connecte la poupée au réseau. Il n’empêche : cela fleure bon l’amateurisme et le manque de considération pour la sécurité de l’application. D’autres failles plus graves existaient également comme la possibilité de mettre en place une attaque de type POODLE, faille corrigée depuis.

Dans le radar de la FTC

Finalement, la carrière commerciale de la Barbie « causeuse » pourrait s’arrêter brutalement, des juristes et associations de protection de l’enfance arguant qu’elle ne protège pas de manière adéquate les informations d’enfants de moins de 12 ans telles que stipulées par le Children’s Online Privacy Protection Act. A priori, la FTC (Federal Trade Commission) s’est désormais saisie de l’affaire et pourrait prendre des mesures drastiques comme l’interdiction de la commercialisation tant que des gages crédibles quant à la sécurité ne seront pas donnés.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Objets connectés

GitLab

GitLab

Solution libre de « forge » pour le dépôt de code basé, tout comme GitHub, sur le gestionnaire de versions Git, GitLab continue son ascension. Il offre une solution intégrant parfaitement...

20 TECHNOS

20 TECHNOS

Dossier réalisé par Bertrand Garé et Guillaume Périssat avec Michel Chotard, Alain Clapaud et Bastien Lion.

CI/CD as a Service

CI/CD as a Service

L’intégration et la livraison continues sont des composantes fondamentales de la démarche DevOps. Toutefois, alors que les pipelines doivent prendre en compte les nouvelles architectures – conteneurs notamment –,...

Disque dur

Disque dur

Bousculé par la vitesse des mémoires Flash, le disque dur semble condamné. Pourtant, la demande en capacité ne faiblit pas, au contraire, elle s’envole, portée par les besoins infinis du Cloud…

RSS
Afficher tous les dossiers

BASES DE DONNÉES : le DBaaS va tout balayer - Gestion de l'information : structurer le non structuré ! - Municipales : la politique se numérise, le numérique se politise - Cybersécurité : les planètes Cyber alignées ! - DevOps : WevAssembly, langage assembleur du Web - AMP confié à OpenJS - Pénurie des formations IA - À la recherche de nouvelles compétences IT...

 

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

 

Afficher tous les derniers numéros

Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


Tous les Livres Blancs
Derniers commentaires
Le réseau social Twitter a annoncé jeudi avoir supprimé des milliers de comptes dans plusieurs pays, en raison de leurs contenus jugés pro-gouvernementauxLe réseau social Twitter a annoncé jeudi avoir supprimé des milliers de comptes dans plusieurs pays, en raison de leurs contenus jugés pro-gouvernementaux. [Lire la dépêche...]

L'autorité de régulation des télécoms annonce que les quatre principaux opérateurs candidats à l'attribution des fréquences des futurs réseaux mobiles 5G sont qualifiés pour participer aux enchères, reportées sine die en raison de la crise sanitaireL'autorité de régulation des télécoms (Arcep) a annoncé jeudi que les quatre principaux opérateurs candidats à l'attribution des fréquences des futurs réseaux mobiles 5G sont qualifiés pour participer aux enchères, reportées sine die en raison de la crise sanitaire. [Lire la dépêche...]

Un employé de Lamborghini manipule une imprimante 3D pour la fabrication de visières médicales, dans cette photo transmise le 2 avril 2020Le constructeur italien de voitures de luxe Lamborghini a annoncé jeudi avoir lancé la production de masques et de visières médicales, nouvel exemple de transformation de la production en pleine épidémie de coronavirus. [Lire la dépêche...]

Les bureaux de Google à New York, le 3 juin 2019Google a annoncé jeudi l'allocation de 6,5 millions de dollars à des organisations de vérification des faits (fact-checking) dans le monde, alors que les fausses rumeurs et conseils dangereux sur le Covid-19 continuent de se propager sur internet. [Lire la dépêche...]

Des soldats allemands testent une application sur smartphone pour lutter contre la pandémie de coronavirus, le 1er avril 2020 à BerlinViscéralement attachée à la protection des données personnelles, l'Allemagne pourrait cependant franchir le pas de l'utilisation des téléphones portables et du bluetooth pour endiguer la pandémie de nouveau coronavirus. [Lire la dépêche...]

Des Moscovites dans le métro à Moscou, le 30 mars 2020Moscou est en train de mettre en place une application mobile et des QR Codes permettant de vérifier que la population respecte les règles d'isolement pendant le confinement, a annoncé mercredi un haut responsable de la capitale russe. [Lire la dépêche...]

L'outil Facebook a annoncé mardi l'activation d'un outil d'entraide, baptisé "Communauté d'aide", dans son "Centre d'information sur le Covid-19", où les utilisateurs peuvent se renseigner sur la pandémie et proposer ou demander de l'aide en cas de besoin. [Lire la dépêche...]

Le nombre de téléchargements de l'application Zoom ont explosé ces dernières semainesL'application de visioconférence Zoom, dont l'utilisation a explosé avec la généralisation du télétravail et de la distanciation sociale face au coronavirus, est dans le collimateur de la procureure générale de l'Etat de New York, inquiète du nombre croissant d'utilisateurs dont les réunions ont été piratées. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

READY FOR IT

La première édition de Ready For IT se déroule du 25 au 27 mai 2020 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.

BIG DATA

Conférences et exposition sur le Big Data les 27 et 28 mai 2020 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

RSS
Voir tout l'AgendaIT
0123movie