Le fabricant de jouets VTech a été victime d'une intrusion informatique qui s'est soldée par la récupération de nombreuses informations personnelles, dont des données sur des enfants.

C’est un piratage informatique d’une très grande ampleur, qui tombe au plus mal pour la société VTech. Alors que les fêtes de d’année auront lieu dans quelques semaines, le fabricant de jouets basé à Hong Kong, mais distribué partout dans le monde, a été la cible d’une intrusion dans son réseau. La base de données de l’entreprise a été forcée, permettant à l’assaillant de récupérer des millions de données sensibles.

La détection de cet accès illicite remonte au 14 novembre dernier mais ce n’est qu’à partir du 27 du même mois que VTech a commencé à communiquer sur l’incident. « Nous avons immédiatement conduit une enquête approfondie, qui impliquait une vérification complète du site et mis en place des mesures de protection contre d’autres attaques », écrit VTech, dans un message publié lundi.

Parmi les éléments qui ont été copiés figurent le nom, l’adresse mail, la question secrète et sa réponse pour récupérer le mot de passe, l’adresse IP, l’adresse postale et l’historique des téléchargements, explique VTech. En revanche, les renseignements bancaires (comme les numéros de carte bancaire) n’ont pas été obtenus, puisque le paiement se fait sur une plateforme externe et qu’aucune conservation n’est effectuée à ce niveau.

Mais ce n’est pas tout : outre ces informations, qui portent sur la clientèle adulte de la société, des renseignements sur des enfants ont aussi été dérobés. Sont concernés le nom, le genre et la date d’anniversaire des mineurs dont le profil a été rempli sur le site. Par ricochet, on imagine que l’on peut assez aisément retrouver leur adresse en cherchant à quel compte tel ou tel profil de mineur est rattaché.

Le hacker affirme ne rien vouloir faire avec la base de données.

Avec cette masse d’information, l’auteur du piratage a de quoi mener mener une vaste campagne de hameçonnage (phishing) visant les clients de VTech, afin de récupérer encore plus de données confidentielles afin de mener d’autres opérations de piratage ou des tentatives d’extorsion de fonds. Il pourrait aussi vendre les informations de la base de données au marché noir et en tirer un très bon prix. Mais à en croire le hacker, qui est entré en contact avec le site Motherboard, ce n’est pas son intention. Interrogé sur ce qu’il compte en faire, l’intéressé a simplement répondu : « rien ». La base de données de VTech n’a été partagée qu’avec Motherboard, afin de prouver que le pirate est bien celui qu’il prétend être. Et selon lui, il a été assez simple d’accéder à la base de données : une simple injection SQL a suffi.

Les injections SQL sont des vulnérabilités très courantes et tout à fait efficaces. Il s’agit de faire réagir la base de données en injectant une requête SQL dans un champ de saisie, afin de l’obliger à aller chercher certaines informations. Il existe des parades, mais encore faut-il les mettre en place. Même des entreprises de premier plan peuvent être piégées par des attaques aussi simples : Orange  et Sony Pictures peuvent en témoigner.

Au total, 5 millions de comptes et de profils de mineurs ont été copiés au niveau mondial mais VTech ne donne pas le détail pour chaque catégorie et pour chaque pays. Mais d’après Motherboard, pas moins de 200 000 enfants sont concernés par la fuite. C’est aussi le nombre de clients français qui seraient touchés par la fuite, d’après la commission nationale de l’informatique et des libertés (CNIL).

La CNIL recommande de changer de mot de passe.

À cette occasion, la CNIL invite les internautes français qui auraient un compte chez VTech à changer sans tarder de mot de passe afin de prévenir tout incident. Car le pirate a beau dire qu’il n’en fera rien, les promesses n’engagent que ceux qui y croient. Plus radical, l’autorité administrative évoque le blocage pur et simple du compte. Elle recommande par ailleurs de privilégier l’utilisation de pseudonymes (mais en l’espèce, c’est trop tard…).

Au passage, la commission souligne que l’article 34 actuel de la loi informatique et libertés impose déjà à tout responsable de fichier l’obligation de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Les insuffisances de VTech

Obligation que ne semble pas avoir respecté VTech. Car outre l’injection SQL, les mots de passe n’ont pas été correctement protégés et il n’y avait pas de protection en SSL pour sécuriser les échanges entre le client et le site web.

Un spécialiste de la sécurité informatique, interrogé par Motherboard, a ainsi analysé les données dérobées et découvert très exactement 4 833 678 adresses mail avec un mot de passe associé. Ces mots de passe n’étaient certes pas stockés en clair, mais simplement stockés avec l’algorithme de hachage MD5. Or ce dernier, bien qu’il offre des avantages en rapidité et performance, n’est plus jugé comme fiable pour résister à des attaques.

C’est d’ailleurs en cassant MD5 que les mots de passe du site de rencontre Ashley Madison ont été mis en péril. Il est préférable de se tourner vers des solutions plus robustes, dans la famille SHA-2, comme le recommande l’ANSSI, l’agence française responsable de la sécurité des systèmes d’information. Pour l’expert en informatique, c’est clair et net : « ils ont de toute évidence fait un très mauvais travail au stockage des mots de passe ».

Vtech jeu
CC Jenny Cu

Partager sur les réseaux sociaux

Articles liés