Actualité web & High tech sur Usine Digitale

Les données de 6,4 millions d'enfants piratées depuis le site du fabricant de jouets VTech

Twitter Facebook Linkedin Google + Email
×

Hack of the week Le fabricant de jouets VTech a été victime d'un piratage massif. Révélé par le hacker à la presse, il a exposé les données personnelles de 6,4 millions d'enfants et 4,9 millions de parents.

Le fabricant de jouets hongkongais VTech, spécialisé dans les jouets électroniques éducatifs, a été victime d'un piratage qui a touché les données personnelles de 6,4 millions d'enfants et 4,9 millions de parents. Il s'agit de la plus grosse faille de sécurité jamais découverte concernant des enfants. Elle a été découverte début novembre, lorsque le hacker responsable a contacté un journaliste de Motherboard pour lui faire part de son exploit. Elle concerne de très nombreuses informations sur les enfants et leurs parents, dont notamment leurs noms, adresses postales, adresses IP, adresses emails, mots de passe, dates de naissance, et même les photos prises depuis les jouets.

 

 

Une technologie Flash vétuste vulnérable aux attaques

Le hacker avait découvert des vulnérabilités dans la sécurité des serveurs de VTech deux mois auparavant, après avoir été intrigué par des communautés en ligne dédiées aux expérimentations sur les tablettes Innotab de la marque. Désireux de tester la protection des données mise en place par VTech, il a pu rapidement s'introduire dans les systèmes du fabricant à partir du Learning Lodge, le portail web utilisé pour télécharger des jeux sur ses tablettes. Celui-ci utilisait une technologie Flash vétuste, vulnérable aux attaques par injection SQL (l'introduction non autorisée d'une requête à l'égard d'une base de données). Le pirate a pu obtenir par ce biais des droits administrateurs sans difficulté et récupérer l'ensemble des données utilisateurs, qui n'étaient pas chiffrées.

 

Un piratage philantropique

Il a expliqué sa démarche comme étant purement motivée par un désir de voir une sécurité renforcée des équipements dédiés aux enfants, et avoir préféré contacter la presse plutôt que l'entreprise par peur qu'elle nie les faits et étouffe l'affaire. Pour lui, il ne fait pas de doute que d'autres ont pu avoir accès à ces mêmes données de manière illicite. VTech a reconnu l'incident le 27 novembre, après la publication de l'article sur Motherboard. Les autorités américaines et hongkongaises ont officiellement ouvert des enquêtes à ce sujet. Une explication technique plus détaillée de l'incident est disponible sur le site de Troy Hunt, l'expert en sécurité informatique qui a aidé à confirmer la véracité de la vulnérabilité avant qu'elle ne soit révélée au grand jour.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale