Les données de 6,4 millions d'enfants piratées depuis le site du fabricant de jouets VTech

Le fabricant de jouets VTech a été victime d'un piratage massif.

Révélé par le hacker à la presse, il a exposé les données personnelles de 6,4 millions d'enfants et 4,9 millions de parents.

Partager

Le fabricant de jouets hongkongais VTech, spécialisé dans les jouets électroniques éducatifs, a été victime d'un piratage qui a touché les données personnelles de 6,4 millions d'enfants et 4,9 millions de parents. Il s'agit de la plus grosse faille de sécurité jamais découverte concernant des enfants. Elle a été découverte début novembre, lorsque le hacker responsable a contacté un journaliste de Motherboard pour lui faire part de son exploit. Elle concerne de très nombreuses informations sur les enfants et leurs parents, dont notamment leurs noms, adresses postales, adresses IP, adresses emails, mots de passe, dates de naissance, et même les photos prises depuis les jouets.

Une technologie Flash vétuste vulnérable aux attaques

Le hacker avait découvert des vulnérabilités dans la sécurité des serveurs de VTech deux mois auparavant, après avoir été intrigué par des communautés en ligne dédiées aux expérimentations sur les tablettes Innotab de la marque. Désireux de tester la protection des données mise en place par VTech, il a pu rapidement s'introduire dans les systèmes du fabricant à partir du Learning Lodge, le portail web utilisé pour télécharger des jeux sur ses tablettes. Celui-ci utilisait une technologie Flash vétuste, vulnérable aux attaques par injection SQL (l'introduction non autorisée d'une requête à l'égard d'une base de données). Le pirate a pu obtenir par ce biais des droits administrateurs sans difficulté et récupérer l'ensemble des données utilisateurs, qui n'étaient pas chiffrées.

Un piratage philantropique

Il a expliqué sa démarche comme étant purement motivée par un désir de voir une sécurité renforcée des équipements dédiés aux enfants, et avoir préféré contacter la presse plutôt que l'entreprise par peur qu'elle nie les faits et étouffe l'affaire. Pour lui, il ne fait pas de doute que d'autres ont pu avoir accès à ces mêmes données de manière illicite. VTech a reconnu l'incident le 27 novembre, après la publication de l'article sur Motherboard. Les autorités américaines et hongkongaises ont officiellement ouvert des enquêtes à ce sujet. Une explication technique plus détaillée de l'incident est disponible sur le site de Troy Hunt, l'expert en sécurité informatique qui a aidé à confirmer la véracité de la vulnérabilité avant qu'elle ne soit révélée au grand jour.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS