Les vulnérabilités d’un robot-jouet permettent l’espionnage.

Les experts de Kaspersky se sont récemment penchés sur la sécurité d’un modèle populaire de robot-jouet, et ont trouvé des problèmes majeurs qui permettaient à des acteurs malveillants de passer un appel vidéo vers le robot, de pirater le compte parental ou même de potentiellement télécharger un micrologiciel modifié. Lisez la suite pour en savoir plus.

Ce que peut faire un robot-jouet

Le modèle de robot-jouet étudié est une sorte d’hybride entre un smartphone/tablette et un haut-parleur intelligent sur roulettes qui lui permet de se déplacer. Le robot n’a pas de membres, se déplacer dans la maison est donc sa seule option pour interagir physiquement avec son environnement.

L’élément principal du robot est un grand écran tactile qui peut afficher une interface de contrôle, des applications d’apprentissage interactives pour enfants et un dessin de visage animé et détaillé. Les expressions de son visage changent avec le contexte, et il faut tout de même souligner l’excellent travail des développeurs sur la personnalité du robot.

Il est possible de contrôler le robot à l’aide de commandes vocales, mais certaines de ses fonctionnalités ne les prennent pas en charge. Il faut donc parfois attraper le robot et toucher son visage l’écran intégré.

En plus d’un microphone intégré et d’un haut-parleur assez puissant, le robot est doté d’une caméra grand-angle placée juste au-dessus de l’écran. L’une des principales fonctionnalités mises en avant par le fournisseur est la possibilité pour les parents de passer des appels vidéo avec leurs enfants via le robot.

Sur la face avant, plus ou moins à mi-chemin entre l’écran et les roues, se trouve un capteur supplémentaire de reconnaissance optique d’objets qui aide le robot à éviter les collisions. La reconnaissance d’obstacles est totalement indépendante de la caméra principale, c’est pourquoi les développeurs ont très à propos ajouté un obturateur physique qui recouvre complètement l’objectif.

Donc, si vous craignez que quelqu’un puisse vous regarder, vous et/ou votre enfant, à travers cette caméra, à raison comme nous le verrons plus tard, vous pouvez tout simplement fermer l’obturateur. Et si vous craignez qu’on vous espionne par le microphone intégré, vous pouvez simplement éteindre le robot (à en juger par le temps qu’il faut pour le redémarrer, il s’agit d’un véritable arrêt et non d’un mode veille).

Comme on peut s’y attendre, une application pour contrôler et surveiller le jouet est disponible pour les parents. Et, comme vous l’avez sans doute déjà deviné, l’ensemble est connecté à Internet et a une multitude de services cloud. Pour les détails techniques, vous pouvez consulter la version complète de l’étude de sécurité, publiée sur Securelist.

Comme d’habitude, plus le système est complexe, plus il est susceptible de présenter des failles de sécurité, que quelqu’un pourrait essayer d’exploiter à des fins douteuses. Et nous voici arrivés au point clé de cet article : après avoir étudié le robot de près, nous avons trouvé plusieurs vulnérabilités importantes.

Appels vidéo non autorisés

Notre première découverte au cours de nos recherches est que des acteurs malveillants peuvent passer des appels vidéo à n’importe quel robot de ce type. Le serveur du fournisseur délivrait des jetons de session vidéo à toute personne possédant à la fois l’identifiant du robot et celui du parent. L’identifiant du robot n’a pas été difficile à pirater par force brute, car chaque jouet avait un identifiant à neuf caractères semblable au numéro de série imprimé sur son corps, les deux premiers caractères étant les mêmes pour chaque appareil. Quant à celui du parent, il a été obtenu en envoyant une demande avec l’identifiant du robot au serveur du fabricant sans la moindre authentification.

Ainsi, un acteur malveillant qui voudrait appeler n’importe quel enfant pourrait soit essayer de deviner l’identifiant d’un robot en particulier, soit laisser faire le hasard et appeler des identifiants aléatoires.

Piratage total du compte parental

Et ce n’est pas tout. Le système crédule a autorisé toute personne possédant un identifiant de robot à obtenir de nombreuses informations personnelles sur le serveur : adresse IP, pays de résidence, nom de l’enfant, sexe, âge, ainsi que les données du compte parental : adresse email, numéro de téléphone et code du parent reliant l’application parentale au robot.

Tout cela ouvre la voie à une attaque beaucoup plus dangereuse, le piratage complet du compte parental. Un acteur malveillant n’aurait eu que quelques étapes simples à suivre :

• Tout d’abord, se connecter au compte parental depuis son propre appareil en utilisant l’adresse email ou le numéro de téléphone obtenus précédemment. L’autorisation nécessitait l’envoi d’un code à usage unique à six chiffres, mais les tentatives de connexion étaient illimitées, une attaque par force brute seule aurait donc fait l’affaire.
• Il n’aurait fallu qu’un clic pour dissocier le robot du véritable compte parental.
• Ensuite, il aurait fallu l’associer au compte du pirate informatique. La vérification du compte reposait sur le code de liaison mentionné ci-dessus, fourni par le serveur à tout venant.

Une attaque réussie aurait coupé l’accès des parents au robot. Il aurait donc fallu contacter l’assistance technique pour le récupérer. Même dans ce cas, le pirate aurait pu répéter l’ensemble du processus, car seul l’identifiant du robot, qui restait inchangé, était nécessaire.

Chargement d’un micrologiciel modifié

Enfin, en étudiant le fonctionnement des différents systèmes du robot, nous avons découvert des problèmes de sécurité dans le processus de mise à jour du logiciel. Les paquets de mise à jour ne comprenaient pas de signature numérique, et le robot a installé sans vérification préalable une archive de mise à jour spécialement formatée reçue du serveur du fournisseur.

Il était donc possible de pirater le serveur de mises à jour, de remplacer l’archive par une archive modifiée et de télécharger un micrologiciel malveillant qui aurait permis au pirate d’exécuter n’importe quelle commande avec des autorisations de superutilisateur sur tous les robots. En théorie, les pirates auraient alors pu prendre le contrôle des mouvements du robot, utiliser les caméras et les micros intégrés pour espionner les utilisateurs, passer des appels aux robots, etc.

Comment se protéger

Mais cette histoire finit bien. Nous avons informé les développeurs du jouet des problèmes découverts et ils ont pris des mesures pour les corriger. Les vulnérabilités décrites ci-dessus ont toutes été corrigées.

Pour terminer, voici quelques conseils pour utiliser divers gadgets connectés en toute sécurité :

• N’oubliez pas que tous les appareils intelligents, y compris les jouets, sont généralement des systèmes numériques très complexes dont les développeurs ne parviennent souvent pas à garantir le stockage sécurisé et fiable des données des utilisateurs.
• Lorsque vous achetez un appareil, veillez à lire attentivement les commentaires et les critiques des utilisateurs et, idéalement, tout rapport de sécurité si vous pouvez en trouver un.
• Gardez à l’esprit que la simple découverte de vulnérabilités dans un appareil ne le rend pas inférieur : on peut trouver des problèmes n’importe où. C’est la réaction du fournisseur qui importe, et tout problème corrigé est bon signe. C’est moins bon signe si celui-ci ne semble pas s’en soucier.
• Pour éviter d’être espionné ou écouté par vos appareils intelligents, éteignez-les lorsque vous ne les utilisez pas, et posez un obturateur ou un ruban adhésif sur la caméra.
• Enfin, vous devez bien sûr protéger les appareils de tous les membres de votre famille avec une solution de sécurité fiable. Le piratage d’un robot jouet est certes une menace exotique, mais la probabilité de rencontrer d’autres types de menaces en ligne est encore très élevée de nos jours.