Tweeter

VTech a été victime d’un important piratage informatique avec un vol massif de données. En France, VTech est connu pour ses jeux et terminaux électroniques comme des tablettes, ordinateurs pour enfants ou des appareils hybrides comme des consoles ludo-éducatives.

 

A l’approche des fêtes de d’année, c’est un piratage informatique de très grande ampleur pour la société VTech, le fabricant de jouets basé à Hong Kong, mais distribué partout dans le monde.

VTech est une société hongkongaise spécialisée dans la conception de jouets électroniques éducatifs.

Le groupe propose aussi une boutique en ligne, baptisée Learning Lodge, pour télécharger des jeux, des livres électroniques et des applications pour les enfants.

« Le 14 novembre 2015, une personne non autorisée a eu accès à notre base de données liée à notre plate-forme de téléchargement Learning Lodge/Explora Park », a reconnu le fabricant dans un communiqué du 27 novembre.

La base de données de l’entreprise a été forcée, perettant au pirate de récupérer des millions de données sensibles.

Le piratage a été signalé par le site spécialisé Motherboard, qui dit avoir été contacté par le hackeur.

C’est le système baptisé « Learning Lodge », ou « Explora Park » (version française), qui a été visé, la « plate-forme permettant aux consommateurs de télécharger des contenus pour jouets VTech », indique l’entreprise.

Le hackeur assure n’avoir pas rendu publiques ces données et n’a communiqué que des échantillons à Motherboard à des fins de crédibilité.

Il a indiqué au site avoir récupéré un certain nombre de données personnelles, concernant 4,8 millions de parents  et plus de  200000 enfants.

Les noms, adresses électroniques, mots de passe et adresses postales des clients ont été volés, ainsi que les prénoms, date de naissance et sexe des enfants concernés.

Troy Hunt, expert en sécurité informatique chez Microsoft, a aidé Motherboard à authentifier les données volées confirmant que les adresses postales de 4,8 millions d’adultes ont été effectivement extraites des serveurs de VTech.

Aucune information bancaire n’aurait par ailleurs  été dérobée.

Un chiffrement jugé « faible » des mots de passe :

En ce qui concerne les mots de passe, ils ont été dérobés ; ils étaient protégés mais par un chiffrement jugé « faible » par l’expert.

Motherboard affirme que le pirate s’est aussi emparé des données d’un service nommé « Kid Connect », un outil de discussion instantanée entre l’enfant utilisant une tablette VTech et ses parents.

Selon Motherboard, près de 190 gigaoctets de photos aussi bien d’enfants que d’adultes, ont été volés, ainsi que des historiques de conversation remontant jusqu’à la fin 2014, et quelques enregistrements sonores.

VTech France n’a pas communiqué sur le nombre de comptes français dont les données ont été volées.

Un courriel a été envoyé à tous les membres d’Explora Park assurant qu’aucune information de paiement n’avait été volée.

La détection de ce piratage remonte au 14 novembre dernier mais ce n’est que le 27 que VTech a commencé à communiquer sur l’incident :

« Nous avons immédiatement conduit une enquête approfondie, qui impliquait une vérification complète du site et mis en place des mesures de protection contre d’autres attaques », écrit VTech, dans un message publié lundi.

Avec cette masse d’informations, l’auteur du piratage pourrait être en mesure être de mener une vaste campagne de hameçonnage (phishing) visant les clients de VTech, afin de récupérer encore plus de données confidentielles afin de mener d’autres opérations de piratage ou des tentatives d’extorsion de fonds.

Il pourrait aussi vendre les informations de la base de données au marché noir et en tirer un très bon prix.

Mais à en croire le hacker, qui est entré en contact avec le site Motherboard, ce ne serait  pas son intention.

Selon lui, il a été assez simple d’accéder à la base de données : une simple injection SQL aurait  suffi.

Les injections SQL sont des vulnérabilités très courantes et très efficaces.

Il s’agit de faire réagir la base de données en injectant une requête SQL dans un champ de saisie, afin de l’obliger à aller chercher certaines informations.

Il existe des parades, mais encore faudrait-il les mettre en place.

Même des entreprises de premier plan comme dans le passé Orange  et Sony Pictures peuvent être piégées par des attaques aussi simples.

Au total, 5 millions de comptes et de profils de mineurs ont été copiés au niveau mondial mais VTech ne donne pas le détail pour chaque catégorie et pour chaque pays.

La Cnil recommande de changer les mots de passe.

La CNIL a invité, a cette occasion, les internautes français qui auraient un compte chez VTech à changer sans tarder de mot de passe afin de prévenir tout incident.

Elle souligne par ailleurs que l’article 34 actuel de la loi informatique et libertés impose déjà à tout responsable de fichier l’obligation de  « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données »une obligation que ne semble pas avoir été respectée par  VTech.

En effet outre l’injection SQL, les mots de passe n’ont pas été correctement protégés et il n’y avait pas de protection en SSL pour sécuriser les échanges entre le client et le site web.

Si les mots de passe n’étaient certes pas stockés en clair, ils l’étaient avec l’algorithme de hachage MD5.

Or ce dernier n’est plus jugé comme fiable pour résister à des attaques.

Ainsi, est-il  préférable de se tourner vers des solutions plus robustes, dans la famille SHA-2, comme le recommande l’ANSSI, l’agence française responsable de la sécurité des systèmes d’information.

Pour l’expert en informatique, le jugement est clair et net : «ils ont manifestement fait un très mauvais travail pour le stockage des mots de passe ».