Faisant suite à la divulgation du piratage massif qu'il a subi, le fabricant chinois de jouets éducatifs VTech a révélé que 11,6 millions de comptes avaient été piratés pendant la cyberattaque qui a ciblé ses réseaux le mois dernier. Parmi ces comptes, 6,4 millions sont détenus par des enfants. Si VTech indique que de nombreux comptes affectés appartiennent à des personnes résidant aux Etats-Unis, l’Europe n’est pas épargnée et la France arrive parmi les 5 premiers pays touchés. Ainsi, dans l'Hexagone, le vol porte sur 1,17 million de comptes d'enfants et 868 650 de comptes de parents.
Au total, le nombre de comptes piratés est donc deux fois plus élevé que le chiffre indiqué la semaine dernière par le site spécialisé en sécurité Motherboard qui avait interviewé un pirate revendiquant l’intrusion. Sur les 11,6 millions de comptes affectés, 4,8 millions appartiennent aux parents. Il s'agit pour la plupart « de résidents américains parmi lesquels 2,2 millions sont des comptes de parents et 2,8 millions des comptes d'enfants », a déclaré hier VTech depuis son siège de Hong Kong. Un peu plus tard, le fabricant de jouets a publié une mise à jour de son communiqué dans laquelle il déclare que la France, le Royaume-Uni, l'Allemagne et le Canada font partie des cinq premiers pays affectés.
Des photos et historiques de discussion également volés
Le vol de données est devenu une préoccupation majeure. Les cybercriminels et les pirates sont en permanence à l’affût de failles dans les systèmes en ligne, et les vols massifs de données s’enchaînent : systèmes de cartes de paiement, données de santé, dossiers des personnels du gouvernement américain. L’attaque subie par VTech est un peu différente parce qu'elle affecte des millions d'enfants. Les données volées comprennent des informations de profil avec le nom, le sexe et la date de naissance de l’enfant. Selon Reuters, les procureurs généraux de l'Illinois et du Connecticut ont été désignés pour enquêter sur ce piratage qui a eu lieu le 14 novembre. À Hong Kong, un commissaire de la protection des données personnelles a déclaré qu'il allait vérifier que VTech respectait bien ses obligations en matière de protection des données.
Dans la gamme de jouets de VTech, on trouve notamment des tablettes tactiles couleur pour enfants qui ressemblent à l'iPad d'Apple. La tablette InnoTab 3 est dotée d’un appareil photo, elle peut faire des enregistrements audio et vidéo et télécharger des applications. Le site Motherboard a également signalé que des photos d'enfants et de parents avaient été volées, de même que des historiques de chat, et il a publié des images partiellement floutées qui lui ont été fournies par le pirate supposé. Pour l’instant, VTech a déclaré qu’il ne pouvait pas confirmer le vol de photos, et précise que les images conservées sur ses serveurs sont chiffrées avec l’algorithme 128 bits Advanced Encryption Standard.
Vol des clés de chiffrement ?
Il est probable que le service de messagerie instantané en ligne Kid Connect de VTech a également été exposé, de même que des fichiers audio. VTech a déclaré que les historiques des conversations n’étaient pas chiffrés, mais que les fichiers audio l’étaient avec l’algorithme AES 128, considéré comme sûr. Celui-ci est d’ailleurs largement utilisé par le gouvernement américain. Le fabricant chinois ne voit pas comment le site Motherboard ou le pirate auraient pu déchiffrer les photos, dans la mesure où les attaques par force brute sont quasiment impossibles. Mais, pour que le système soit tout à fait sécurisé, il faut aussi protéger les clés privées de déchiffrement. Donc, si ces images provenaient bien de VTech, cela signifierait que le pirate a réussi à voler les clefs de déchiffrement.
Aucune information de paiement compromise, selon VTech
Le piratage a affecté la base de données client de la boutique d’applications Learning Lodge, où les utilisateurs peuvent télécharger des apps pour les appareils VTech. Mais la base de données des serveurs Kid Connect n’est pas indemne. VTech a suspendu ces deux services et 13 sites Web. Le fabricant prévoit de faire appel à des conseillers en sécurité pour mener l’enquête et l’aider « à concevoir une approche plus sûre de la sécurité des données ».
Les données volées comprennent les noms, les adresses mail, les haschs de mots de passe faibles, les questions secrètes pour la récupération de mot de passe, les adresses IP, les adresses postales et l’historique de téléchargement. Selon VTech, aucune information de paiement n’a été compromise. Pour l’instant, les données fuitées n’ont pas été utilisées à des fins criminelles. Par ailleurs, la société affirme que, le piratage étant circonscrit à ses serveurs, il n’y pas de risque que les enfants soient pistés quand ils utilisent ses jouets.
mes enfants ont reçu une tablette vtech pour leurs saint Nicolas au moment de l'enregistrement nous n'avons réussi à le faire en cause du piratage ils disent qu'ils travaillent temporairement sur la sécurité de la platforme est ce que les enfants pourront utiliser leurs tablette ou faut il se es faire remboursée je vous remercie bien à vous
Signaler un abus