Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

VTech : 6,4 millions de comptes d'enfants piratés dont 1,17 en France

En France, le piratage du fabricant de jouet VTech concerne 1,17 million de comptes d'enfants et 868 650 de comptes de parents sur la boutique d’applications Learning Lodge. (cliquer sur l'image)

En France, le piratage du fabricant de jouet VTech concerne 1,17 million de comptes d'enfants et 868 650 de comptes de parents sur la boutique d’applications Learning Lodge. (cliquer sur l'image)

Si le piratage du fabricant chinois de jouets VTech affecte de nombreux comptes d'utilisateurs situés aux Etats-Unis - 5 millions sur 11,6 millions de comptes piratés - la France, le Royaume-Uni, l'Allemagne et le Canada font partie des cinq premiers pays concernés avec plus de 2 millions de comptes touchés dans l'Hexagone, en lien avec la boutique d'applications Learning Lodge.

Faisant suite à la divulgation du piratage massif qu'il a subi, le fabricant chinois de jouets éducatifs VTech a révélé que 11,6 millions de comptes avaient été piratés pendant la cyberattaque qui a ciblé ses réseaux le mois dernier. Parmi ces comptes, 6,4 millions sont détenus par des enfants. Si VTech indique que de nombreux comptes affectés appartiennent à des personnes résidant aux Etats-Unis, l’Europe n’est pas épargnée et la France arrive parmi les 5 premiers pays touchés. Ainsi, dans l'Hexagone, le vol porte sur 1,17 million de comptes d'enfants et 868 650 de comptes de parents.

Au total, le nombre de comptes piratés est donc deux fois plus élevé que le chiffre indiqué la semaine dernière par le site spécialisé en sécurité Motherboard qui avait interviewé un pirate revendiquant l’intrusion. Sur les 11,6 millions de comptes affectés, 4,8 millions appartiennent aux parents. Il s'agit pour la plupart « de résidents américains parmi lesquels 2,2 millions sont des comptes de parents et 2,8 millions des comptes d'enfants », a déclaré hier VTech depuis son siège de Hong Kong. Un peu plus tard, le fabricant de jouets a publié une mise à jour de son communiqué dans laquelle il déclare que la France, le Royaume-Uni, l'Allemagne et le Canada font partie des cinq premiers pays affectés.

Des photos et historiques de discussion également volés

Le vol de données est devenu une préoccupation majeure. Les cybercriminels et les pirates sont en permanence à l’affût de failles dans les systèmes en ligne, et les vols massifs de données s’enchaînent : systèmes de cartes de paiement, données de santé, dossiers des personnels du gouvernement américain. L’attaque subie par VTech est un peu différente parce qu'elle affecte des millions d'enfants. Les données volées comprennent des informations de profil avec le nom, le sexe et la date de naissance de l’enfant. Selon Reuters, les procureurs généraux de l'Illinois et du Connecticut ont été désignés pour enquêter sur ce piratage qui a eu lieu le 14 novembre. À Hong Kong, un commissaire de la protection des données personnelles a déclaré qu'il allait vérifier que VTech respectait bien ses obligations en matière de protection des données. 

Dans la gamme de jouets de VTech, on trouve notamment des tablettes tactiles couleur pour enfants qui ressemblent à l'iPad d'Apple. La tablette InnoTab 3 est dotée d’un appareil photo, elle peut faire des enregistrements audio et vidéo et télécharger des applications. Le site Motherboard a également signalé que des photos d'enfants et de parents avaient été volées, de même que des historiques de chat, et il a publié des images partiellement floutées qui lui ont été fournies par le pirate supposé. Pour l’instant, VTech a déclaré qu’il ne pouvait pas confirmer le vol de photos, et précise que les images conservées sur ses serveurs sont chiffrées avec l’algorithme 128 bits Advanced Encryption Standard.

Vol des clés de chiffrement ?

Il est probable que le service de messagerie instantané en ligne Kid Connect de VTech a également été exposé, de même que des fichiers audio. VTech a déclaré que les historiques des conversations n’étaient pas chiffrés, mais que les fichiers audio l’étaient avec l’algorithme AES 128, considéré comme sûr. Celui-ci est d’ailleurs largement utilisé par le gouvernement américain. Le fabricant chinois ne voit pas comment le site Motherboard ou le pirate auraient pu déchiffrer les photos, dans la mesure où les attaques par force brute sont quasiment impossibles. Mais, pour que le système soit tout à fait sécurisé, il faut aussi protéger les clés privées de déchiffrement. Donc, si ces images provenaient bien de VTech, cela signifierait que le pirate a réussi à voler les clefs de déchiffrement.

Aucune information de paiement compromise, selon VTech

Le piratage a affecté la base de données client de la boutique d’applications Learning Lodge, où les utilisateurs peuvent télécharger des apps pour les appareils VTech. Mais la base de données des serveurs Kid Connect n’est pas indemne. VTech a suspendu ces deux services et 13 sites Web. Le fabricant prévoit de faire appel à des conseillers en sécurité pour mener l’enquête et l’aider « à concevoir une approche plus sûre de la sécurité des données ».

Les données volées comprennent les noms, les adresses mail, les haschs de mots de passe faibles, les questions secrètes pour la récupération de mot de passe, les adresses IP, les adresses postales et l’historique de téléchargement. Selon VTech, aucune information de paiement n’a été compromise. Pour l’instant, les données fuitées n’ont pas été utilisées à des fins criminelles. Par ailleurs, la société affirme que, le piratage étant circonscrit à ses serveurs, il n’y pas de risque que les enfants soient pistés quand ils utilisent ses jouets.

En savoir plus :

- le FAQ publié par Tech sur le piratage qu'il a subi

COMMENTAIRES de l'ARTICLE1

le 05/12/2015 à 13h25 par Visiteur7457 :

mes enfants ont reçu une tablette vtech pour leurs saint Nicolas au moment de l'enregistrement nous n'avons réussi à le faire en cause du piratage ils disent qu'ils travaillent temporairement sur la sécurité de la platforme est ce que les enfants pourront utiliser leurs tablette ou faut il se es faire remboursée je vous remercie bien à vous

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité