VTech Leaks : 1,2 million de comptes d'enfants français piratés

Les données de 4,8 millions de clients, correspondant à 6,3 millions de profils d'enfants, ont été "hackées" par un cybercriminel. 1,2 million de profils d'enfants français sont touchés. Un piratage massif, qui met en lumière la fragilité de nombreuses entreprises et l’insuffisante protection de la vie privée de leurs clients.
Sylvain Rolland
Deux semaines se sont écoulées avant que VTech ne se rende compte de la fuite. C'est le site américain Motherboard, en contact avec le pirate, qui l'a informé.

Article mis à jour le 2 décembre à 11h20.

Un nouveau palier a été franchi dans le piratage informatique : le vol de données concernant des enfants. La société asiatique VTech, qui vend des jouets connectés, des tablettes, des mini-appareils photos, des livres numériques et autres contenus pour têtes blondes, a confirmé le piratage de 4,8 millions de comptes clients du monde entier, correspondant à plus de 6,3 millions de comptes d'enfants. Il s'agit du quatrième piratage le plus important de l'histoire, selon le site HaveIbeenpwned.com.

"VTech a détecté qu'un tiers non-autorisé a accédé, lundi 14 novembre, aux informations de clients de VTech conservées sur la base de données de sa boutique en ligne Learning Lodge", indique le groupe dans un communiqué de presse. Learning Lodge est la plateforme sur laquelle les clients téléchargent les jeux et jouets numériques pour les enfants, comme un Apple Store.

>> DIAPORAMA Les 10 pires piratages de comptes de l'histoire

La société, qui se décrit comme le leader mondial des jeux éducatifs électroniques pour les tout-petits, réagit donc plus de deux semaines après les faits. Et pour cause : elle ne s'était pas rendu compte de la fuite avant d'être prévenue par Motherboard, un site spécialisé qui appartient à Vice. Le hackeur présumé, surpris de ne voir aucun article dans les médias sur son méfait, a contacté Motherboard pour revendiquer l'attaque.

La France, deuxième pays le plus touché

De nouvelles informations publiées ce mercredi par VTech montrent que la fuite est encore plus massive qu'on le pensait, notamment en ce qui concerne le nombre de profils d'enfants piratés.

On apprend aussi que la France est le deuxième pays le plus touché, avec 865.650 comptes de parents piratés, correspondant à près de 1,2 million de comptes d'enfants. Le pays le plus attaqué est les Etats-Unis, avec 2,2 millions de comptes de parents "hackés" soit 2,9 millions de profils de bambins. Le Royaume-Uni, l'Allemagne et le Canada suivent la France.

Des informations très faciles à recouper

Dans le détail, les données subtilisées concernent le nom des enfants, leur sexe et leur date d'anniversaire. Mais aussi les noms, adresses courriel, adresses postales, historique des téléchargements, mots de passe, questions secrètes pour récupérer le mot de passe et l'adresse IP [la carte d'identité de l'ordinateur, NDLR] des clients adultes qui gèrent les comptes. Des photos des parents et des enfants, ainsi que des messages écrits et audio échangés à travers les tablettes vendues par VTech seraient aussi dans la nature.

Une fraude effarante car de grande ampleur, qui fait écho à celle qu'a subi récemment le site de rencontres extraconjugales Ashley Madison, ou encore les studios Sony. A la différence près que cette fois, elle touche aussi des enfants. Selon des experts informatiques, il est possible de recouper les informations pour relier les enfants à leurs parents, et ainsi les identifier précisément.

Comme Sony ou encore Ashley Madison l'avaient fait avant lui, VTech a adopté une communication de crise visant à minimiser l'impact du piratage. Ainsi, l'entreprise a mis l'accent sur le fait que les données bancaires des parents n'ont pas été piratées.

La raison est simple : ces données ne sont pas stockées sur la base de données de Learning Logde car les clients sont redirigés sur une plateforme de paiement bancaire au moment d'effectuer l'achat, comme sur de nombreux autres sites. Pas vraiment de quoi pavoiser, donc. "Nous avons contacté chaque client par courriel pour l'alerter de l'exposition potentielle de ses données", a précisé le groupe dans son communiqué.

La sécurité, pas une priorité pour les entreprises du jeu pour enfants

Pour Peter Gyöngyösi, responsable produits chez BalaBit IT Security, un fournisseur de solutions de sécurité européen, les VTech Leaks mettent en lumière le "cauchemar" de la sécurité des objets connectés. Selon lui, si les entreprises sont coupables de ne pas assez investir dans la sécurité, les utilisateurs doivent aussi se questionner sur les données qu'ils acceptent de laisser vulnérables, notamment lorsqu'ils mettent dans les mains d'enfants des jouets connectés dotés de caméras:

"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l'innovation et la saisonnalité sont primordiaux. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possibles, l'expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau."

     | Lire Les objets connectés très vulnérables aux attaques informatiques

Dans une récente enquête menée par 29 CNIL mondiales auprès de 1494 sites et applications, le constat est le même : la vie privée des enfants est insuffisamment protégée sur Internet, et notamment sur les sites ludo-éducatifs et les plateformes de jeux comme VTech.

A priori, pas d'intention de nuire

Le pirate à l'origine du hacking de VTech n'aurait pas l'intention de diffuser massivement les données volées sur la Toile. Un journaliste du site Motherboard indique que le mystérieux pirate lui a dit ne "rien vouloir en faire". "Le hackeur semble avoir partagé les données seulement avec Motherboard, bien que celles-ci pourraient facilement avoir déjà été vendues sur Internet", explique-t-il.

Le pirate a même expliqué à Motherboard comment il a pénétré dans la base de données de VTech :

"Le hackeur, qui a réclamé l'anonymat, a utilisé une technique appelée SQL injection. Connue également sous le nom de SQLi, c'est une ancienne méthode d'attaque, bien que très efficace, qui consiste à insérer des commandes malignes dans des formulaires d'un site pour le piéger et l'amener à dévoiler d'autres données", écrit le site.

Pourquoi cette attaque, alors ? A priori, juste pour prouver à quel point il est facile d'entrer dans des bases de données d'entreprises et de réaliser le quatrième piratage le plus massif de l'histoire. "C'était plutôt simple, donc quelqu'un avec de mauvaises intentions pourrait facilement en faire de même", a indiqué le pirate dans un mail crypté.

>> Pour aller plus loin : une analyse intéressante des failles de sécurité de VTech par le site américain Ars Technica (en anglais).

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 2
à écrit le 02/12/2015 à 20:18
Signaler
ce ne sont pas les objets en eux-mêmes, mais bien leurs concepteurs qui négligent la sécurité. l'objet, lui, n'est qu'un réceptacle. Vous pensez bien que pour faire des profits max, les dirigeants ne se soucient guère de ces considérations.

à écrit le 02/12/2015 à 13:17
Signaler
Rien d'étonnant, les objets connectés sont les pires en matière de sécurité informatique, après les tablettes et les smartphones ! A noter le télescopage avec l'article que je viens juste de lire avant, "ERDF lance le déploiement de ses compteurs int...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.