Piratage massif de données d’enfants pour le fabricant de jouets VTech
Un nouveau palier a été franchi dans le piratage informatique : le vol de données concernant des enfants. La société asiatique VTech, qui vend des jouets connectés, des tablettes, des mini-appareils photos, des livres numériques et autres contenus pour têtes blondes, a confirmé le piratage de 4,8 millions de comptes clients du monde entier, dont 200.000 profils d'enfants. Il s'agit du quatrième piratage le plus important de l'histoire, selon le site HaveIbeenpwned.com
"VTech a détecté qu'un tiers non-autorisé a accédé, lundi 14 novembre, aux informations de clients de VTech conservées sur la base de données de sa boutique en ligne Learning Lodge", indique le groupe dans un communiqué de presse. Learning Lodge est la plateforme sur laquelle les clients téléchargent les jeux et jouets numériques pour les enfants, comme un Apple Store.
La société, qui se décrit comme le leader mondial des jeux éducatifs électroniques pour les tout-petits, réagit donc plus de deux semaines après les faits. Et pour cause : elle ne s'était pas rendu compte de la fuite avant d'être prévenue par Motherboard, un site spécialisé qui appartient à Vice. Le hackeur présumé, surpris de ne voir aucun article dans les médias sur son méfait, a contacté Motherboard pour revendiquer l'attaque.
Des informations très faciles à recouper
Dans le détail, les données subtilisées concernent le nom des enfants, leur sexe et leur date d'anniversaire. Mais aussi les noms, adresses courriel, adresses postales, historique des téléchargements, mots de passe, questions secrètes pour récupérer le mot de passe et l'adresse IP [la carte d'identité de l'ordinateur, NDLR] des clients adultes qui gèrent les comptes. Des photos des parents et des enfants, ainsi que des messages écrits et audio échangés à travers les tablettes vendues par VTech seraient aussi dans la nature.
Une fraude de grande ampleur, qui fait écho à celle qu'a subi récemment le site de rencontres extraconjugales Ashley Madison, ou encore les studios Sony. A la différence près que cette fois, elle touche aussi de enfants. Selon des experts informatiques, il est possible de recouper les informations pour relier les enfants à leurs parents, et ainsi les identifier précisément.
Comme Sony ou encore Ahsley Madison l'avaient fait avant lui, VTech a adopté une communication de crise visant à minimiser l'impact du piratage. Ainsi, l'entreprise a mis l'accent sur le fait que les données bancaires des parents n'ont pas été piratées.
La raison est simple : ces données ne sont pas stockées sur la base de données de Learning Logde car les clients sont redirigés sur une plateforme de paiement bancaire au moment d'effectuer l'achat, comme sur de nombreux autres sites. Pas vraiment de quoi pavoiser, donc. "Nous avons contacté chaque client par courriel pour l'alerter de l'exposition potentielle de ses données", a précisé le groupe dans son communiqué.
La sécurité, pas une priorité pour les entreprises du jeu pour enfants
Pour Peter Gyöngyösi, responsable produits chez BalaBit IT Security, un fournisseur de solutions de sécurité européen, les VTech Leaks mettent en lumière le "cauchemar" de la sécurité des objets connectés. Selon lui, si les entreprises sont coupables de ne pas assez investir dans la sécurité, les utilisateurs doivent aussi se questionner sur les données qu'ils acceptent de laisser vulnérables, notamment lorsqu'ils mettent dans les mains d'enfants des jouets connectés dotés de caméras:
"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l'innovation et la saisonnalité sont primordiaux. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possibles, l'expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau."
Dans une récente enquête menée par 29 CNIL mondiales auprès de 1494 sites et applications, le constat est le même : la vie privée des enfants est insuffisamment protégée sur Internet, et notamment sur les sites ludo-éducatifs et les plateformes de jeux comme VTech.
A priori, pas d'intention de nuire
Le pirate à l'origine du hacking de VTech n'aurait pas l'intention de diffuser massivement les données volées sur la Toile. Un journaliste du site Motherboard indique que le mystérieux pirate lui a dit ne "rien vouloir en faire". "Le hackeur semble avoir partagé les données seulement avec Motherboard, bien que celles-ci pourraient facilement avoir déjà été vendues sur Internet", explique-t-il.
Le pirate a même expliqué à Motherboard comment il a pénétré dans la base de données de VTech :
"Le hackeur, qui a réclamé l'anonymat, a utilisé une technique appelée SQL injection. Connue également sous le nom de SQLi, c'est une ancienne méthode d'attaque, bien que très efficace, qui consiste à insérer des commandes malignes dans des formulaires d'un site pour le piéger et l'amener à dévoiler d'autres données", écrit le site.
Pourquoi cette attaque, alors ? A priori, juste pour prouver à quel point il est facile d'entrer dans des bases de données d'entreprises et de réaliser le quatrième piratage le plus massif de l'histoire. "C'était plutôt simple, donc quelqu'un avec de mauvaises intentions pourrait facilement en faire de même", a indiqué le pirate dans un mail crypté.
