Le fabricant de jouets VTech a été victime d’une importante fuite de données. Les informations personnelles de cinq millions d’adultes et de 200 000 enfants ont ainsi été exposées. De nombreux pays sont touchés, dont la France, et la société a été obligée de fermer son service Learning Lodge.
Dans un communiqué publié hier, la société VTech a confirmé avoir été victime d’une importante attaque qui a abouti au vol d’une très importante quantité d’informations sur sa clientèle. Ces données émanent de pas moins de cinq millions de comptes créés sur les différents sites et services reliés à VTech. Parmi ces informations, on retrouve l’adresse email, le nom, le mot de passe, la question secrète et sa réponse, l’adresse IP, l’adresse postale ou encore l’historique de téléchargement.
5 millions d'adultes, 200 000 enfants, 13 sites
Cette masse de données contient également des informations sur environ 200 000 enfants : nom, sexe et date de naissance. Cependant, aucune donnée à caractère très sensible n’est stockée de cette manière, notamment tout ce qui touche aux paiements. On ne retrouve donc pas de numéro de carte bancaire, de sécurité sociale, de carte d’identité ou de permis de conduire. Dans son communiqué, VTech a indiqué hier que tous les clients touchés avaient été contactés par email pour les informer de la brèche et de la fuite des données. Des adresses email spéciales de contact ont par ailleurs été mises en place. En France, il s’agit de « explora_park@vtech.com ».
Il y a cependant plus grave, et Vtech ne le dit pas dans son communiqué. Comme l'indiquait hier Motherboard, le pirates ont été capables d'obtenir également des selfies pris par les enfants ainsi que des journaux de conversation entre eux et leurs parents. Dans un entretien chiffré avec le site, le pirate a indiqué qu'il existait au total 190 Go de photos, dont un échantillon de 3 832 clichés a été fourni pour preuve à nos confrères.
Évidemment, une enquête est en cours. Durant la première phase, le constructeur a préféré couper l’accès à 13 sites au total dont, en France, planetvtech.com, lumibeauxreves.com et planetvtech.fr. Parallèlement, l’entreprise a préféré fermer son service Learning Lodge, qui est en fait une boutique contenant de multiples contenus pour les enfants : musique, petites applications, livres électroniques et jeux.
La brèche a été repérée par un journaliste
C’est d’ailleurs dans Learning Lodge que tout a commencé le 14 novembre, quand des pirates ont réussi à percer les défenses de la société hongkongaise. Ce qui est clairement l’une des plus grosses fuites de données enregistrées a d’abord été repéré par le journaliste Lorenzo Franceschi-Bicchierai. Pour mieux comprendre ce qui lui semblait être un souci de sécurité, il s’est adressé à Troy Hunt, MVP Microsoft.
C’est l’analyse de ce dernier, publiée pendant le week-end, qui a montré l’ampleur de la brèche et la manière dont toutes ces données ont pu être récupérées. Il a commencé par vérifier la validité des données en passant par un outil de sa composition, baptisé HIBP (pour « have i been pwned? »). Par son intermédiaire, il a reçu six réponses durant les premières 24 heures qui pointaient vers une confirmation de la fuite.
Chiffrement MD5, pas de SSL, mots de passe des enfants en clair...
Dans les données elles-mêmes se trouvait notamment un fichier « parents.csv » pesant pas moins de 1,7 Go. À l’intérieur, 4 833 678 adresses email uniques (elles étaient parfois répétées) accompagnées des données citées plus haut. Malheureusement, VTech n’a accompli qu’un faible travail de protection pour les données de ces clients. Troy Hunt s’est en effet rendu compte que les mots de passe, s’ils avaient bien été chiffrés, n’étaient passés qu’à la moulinette hacheuse MD5, que les pirates un tant soit peu équipés peuvent décrypter très rapidement (quelques minutes).
Et les erreurs de VTech s’enchainent. D’une part, toutes les communications des clients sur les sites concernés se sont faites sur la base de connexions non chiffrées : le SSL avait été mis de côté. De fait, tout ce qui touchait aux identifiants et mots de passe transitait par des connexions HTTP classiques. D’autre part, les mots de passe des comptes enfants étaient stockés en clair, et les pirates n’avaient donc aucun effort à faire pour les obtenir. Enfin, et c’est un très sérieux problème, Troy Hunt a montré qu’il était en fait très facile de relier les données des comptes enfants à celles des comptes parents. Traduction, les pirates peuvent facilement obtenir les adresses postales des enfants.
VTech n’a par ailleurs pas été très alerte. L’entreprise n’était en effet au courant de rien avant que Motherboard, qui a obtenu les informations du journaliste Lorenzo Franceschi-Bicchierai, ne l’en avertisse. Le communiqué publié ce week-end est d’ailleurs assez avare en informations et il n’est nulle part mention de l’ampleur de la fuite de données. En somme, comme l’indique The Next Web, ce piratage est pratiquement un cas d’école résumant tout ce qu’il est possible de rater sur le plan de la sécurité.
Le tout juste avant les fêtes de fin d'année
VTech indique quand même que l’enquête est en cours et que des mesures sont en train d’être prises pour renforcer la sécurité des informations personnelles. Malheureusement, il a encore une fois été nécessaire qu’une véritable catastrophe de ce genre survienne pour qu’une entreprise se penche sur un sujet qui devrait être pris au sérieux dès la création d’un fichier client.
Le calendrier est également intéressant puisque l’attaque a eu lieu à quelques semaines à peine des fêtes de fin d’année. Il n’est pas dit que la grande majorité des clients potentiels soient informés d’une telle fuite avant de faire leurs achats, d’autant que les produits VTech se trouvent très facilement dans les grandes surfaces et les magasins de jouets. VTech précise que d’autres informations seront publiées en temps et en heure quand elle aura avancé dans son enquête.
On rappellera que la CNIL avait publié le 2 septembre un compte-rendu faisant justement état du manque flagrant de protection des données personnelles sur les sites dédiés aux enfants. La Commission avait également mis en ligne des conseils pour les parents ainsi que pour les éditeurs de ce type de service. Mais l'article 34 de la loi Informatique et Libertés impose à toute entreprise - et plus globalement à toute entité responsable d'un fichier contenant des données personnelles - de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». VTech pourrait donc en Europe être tenue pour responsable de cette fuite si elle ne parvient pas à prouver qu'elle avait mis en place toutes les mesures nécessaires.
