Le fabricant de jouets hongkongais VTech, spécialisé dans les jouets électroniques éducatifs, a été victime d'un piratage qui a touché les données personnelles de 6,4 millions d'enfants et 4,9 millions de parents. Il s'agit de la plus grosse faille de sécurité jamais découverte concernant des enfants. Elle a été découverte début novembre, lorsque le hacker responsable a contacté un journaliste de Motherboard pour lui faire part de son exploit. Elle concerne de très nombreuses informations sur les enfants et leurs parents, dont notamment leurs noms, adresses postales, adresses IP, adresses emails, mots de passe, dates de naissance, et même les photos prises depuis les jouets.
Une technologie Flash vétuste vulnérable aux attaques
Le hacker avait découvert des vulnérabilités dans la sécurité des serveurs de VTech deux mois auparavant, après avoir été intrigué par des communautés en ligne dédiées aux expérimentations sur les tablettes Innotab de la marque. Désireux de tester la protection des données mise en place par VTech, il a pu rapidement s'introduire dans les systèmes du fabricant à partir du Learning Lodge, le portail web utilisé pour télécharger des jeux sur ses tablettes. Celui-ci utilisait une technologie Flash vétuste, vulnérable aux attaques par injection SQL (l'introduction non autorisée d'une requête à l'égard d'une base de données). Le pirate a pu obtenir par ce biais des droits administrateurs sans difficulté et récupérer l'ensemble des données utilisateurs, qui n'étaient pas chiffrées.
Un piratage philantropique
Il a expliqué sa démarche comme étant purement motivée par un désir de voir une sécurité renforcée des équipements dédiés aux enfants, et avoir préféré contacter la presse plutôt que l'entreprise par peur qu'elle nie les faits et étouffe l'affaire. Pour lui, il ne fait pas de doute que d'autres ont pu avoir accès à ces mêmes données de manière illicite. VTech a reconnu l'incident le 27 novembre, après la publication de l'article sur Motherboard. Les autorités américaines et hongkongaises ont officiellement ouvert des enquêtes à ce sujet. Une explication technique plus détaillée de l'incident est disponible sur le site de Troy Hunt, l'expert en sécurité informatique qui a aidé à confirmer la véracité de la vulnérabilité avant qu'elle ne soit révélée au grand jour.
Réagir