Article mis à jour le 2 décembre à 11h20.
Un nouveau palier a été franchi dans le piratage informatique : le vol de données concernant des enfants. La société asiatique VTech, qui vend des jouets connectés, des tablettes, des mini-appareils photos, des livres numériques et autres contenus pour têtes blondes, a confirmé le piratage de 4,8 millions de comptes clients du monde entier, correspondant à plus de 6,3 millions de comptes d'enfants. Il s'agit du quatrième piratage le plus important de l'histoire, selon le site HaveIbeenpwned.com.
"VTech a détecté qu'un tiers non-autorisé a accédé, lundi 14 novembre, aux informations de clients de VTech conservées sur la base de données de sa boutique en ligne Learning Lodge", indique le groupe dans un communiqué de presse. Learning Lodge est la plateforme sur laquelle les clients téléchargent les jeux et jouets numériques pour les enfants, comme un Apple Store.
>> DIAPORAMA Les 10 pires piratages de comptes de l'histoire
La société, qui se décrit comme le leader mondial des jeux éducatifs électroniques pour les tout-petits, réagit donc plus de deux semaines après les faits. Et pour cause : elle ne s'était pas rendu compte de la fuite avant d'être prévenue par Motherboard, un site spécialisé qui appartient à Vice. Le hackeur présumé, surpris de ne voir aucun article dans les médias sur son méfait, a contacté Motherboard pour revendiquer l'attaque.
De nouvelles informations publiées ce mercredi par VTech montrent que la fuite est encore plus massive qu'on le pensait, notamment en ce qui concerne le nombre de profils d'enfants piratés.
On apprend aussi que la France est le deuxième pays le plus touché, avec 865.650 comptes de parents piratés, correspondant à près de 1,2 million de comptes d'enfants. Le pays le plus attaqué est les Etats-Unis, avec 2,2 millions de comptes de parents "hackés" soit 2,9 millions de profils de bambins. Le Royaume-Uni, l'Allemagne et le Canada suivent la France.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Dans le détail, les données subtilisées concernent le nom des enfants, leur sexe et leur date d'anniversaire. Mais aussi les noms, adresses courriel, adresses postales, historique des téléchargements, mots de passe, questions secrètes pour récupérer le mot de passe et l'adresse IP [la carte d'identité de l'ordinateur, NDLR] des clients adultes qui gèrent les comptes. Des photos des parents et des enfants, ainsi que des messages écrits et audio échangés à travers les tablettes vendues par VTech seraient aussi dans la nature.
Une fraude effarante car de grande ampleur, qui fait écho à celle qu'a subi récemment le site de rencontres extraconjugales Ashley Madison, ou encore les studios Sony. A la différence près que cette fois, elle touche aussi des enfants. Selon des experts informatiques, il est possible de recouper les informations pour relier les enfants à leurs parents, et ainsi les identifier précisément.
Comme Sony ou encore Ashley Madison l'avaient fait avant lui, VTech a adopté une communication de crise visant à minimiser l'impact du piratage. Ainsi, l'entreprise a mis l'accent sur le fait que les données bancaires des parents n'ont pas été piratées.
La raison est simple : ces données ne sont pas stockées sur la base de données de Learning Logde car les clients sont redirigés sur une plateforme de paiement bancaire au moment d'effectuer l'achat, comme sur de nombreux autres sites. Pas vraiment de quoi pavoiser, donc. "Nous avons contacté chaque client par courriel pour l'alerter de l'exposition potentielle de ses données", a précisé le groupe dans son communiqué.
Pour Peter Gyöngyösi, responsable produits chez BalaBit IT Security, un fournisseur de solutions de sécurité européen, les VTech Leaks mettent en lumière le "cauchemar" de la sécurité des objets connectés. Selon lui, si les entreprises sont coupables de ne pas assez investir dans la sécurité, les utilisateurs doivent aussi se questionner sur les données qu'ils acceptent de laisser vulnérables, notamment lorsqu'ils mettent dans les mains d'enfants des jouets connectés dotés de caméras:
Dans une récente enquête menée par 29 CNIL mondiales auprès de 1494 sites et applications, le constat est le même : la vie privée des enfants est insuffisamment protégée sur Internet, et notamment sur les sites ludo-éducatifs et les plateformes de jeux comme VTech.
Le pirate à l'origine du hacking de VTech n'aurait pas l'intention de diffuser massivement les données volées sur la Toile. Un journaliste du site Motherboard indique que le mystérieux pirate lui a dit ne "rien vouloir en faire". "Le hackeur semble avoir partagé les données seulement avec Motherboard, bien que celles-ci pourraient facilement avoir déjà été vendues sur Internet", explique-t-il.
Le pirate a même expliqué à Motherboard comment il a pénétré dans la base de données de VTech :
Pourquoi cette attaque, alors ? A priori, juste pour prouver à quel point il est facile d'entrer dans des bases de données d'entreprises et de réaliser le quatrième piratage le plus massif de l'histoire. "C'était plutôt simple, donc quelqu'un avec de mauvaises intentions pourrait facilement en faire de même", a indiqué le pirate dans un mail crypté.
À lire également
« Anticiper le coût du token sur cinq ans, c’est impossible » : les entreprises face à l'explosion de la facture de l'IA
IA : la douche froide Broadcom fait vaciller les stars européennes des semi-conducteurs
IA : les géants Soitec et STMicroelectronics prêts à réduire la consommation électrique des data centers
Les salariés français à la traîne dans l’adoption de l’IA
