Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Piratage et fuite de données personnelles chez le fabricant de jouets VTech

Florilège des (très) mauvaises pratiques
Internet 6 min
Piratage et fuite de données personnelles chez le fabricant de jouets VTech
Crédits : maxkabakov/iStock/Thinkstock

Le fabricant de jouets VTech a été victime d’une importante fuite de données. Les informations personnelles de cinq millions d’adultes et de 200 000 enfants ont ainsi été exposées. De nombreux pays sont touchés, dont la France, et la société a été obligée de fermer son service Learning Lodge.

Dans un communiqué publié hier, la société VTech a confirmé avoir été victime d’une importante attaque qui a abouti au vol d’une très importante quantité d’informations sur sa clientèle. Ces données émanent de pas moins de cinq millions de comptes créés sur les différents sites et services reliés à VTech. Parmi ces informations, on retrouve l’adresse email, le nom, le mot de passe, la question secrète et sa réponse, l’adresse IP, l’adresse postale ou encore l’historique de téléchargement.

5 millions d'adultes, 200 000 enfants, 13 sites

Cette masse de données contient également des informations sur environ 200 000 enfants : nom, sexe et date de naissance. Cependant, aucune donnée à caractère très sensible n’est stockée de cette manière, notamment tout ce qui touche aux paiements. On ne retrouve donc pas de numéro de carte bancaire, de sécurité sociale, de carte d’identité ou de permis de conduire. Dans son communiqué, VTech a indiqué hier que tous les clients touchés avaient été contactés par email pour les informer de la brèche et de la fuite des données. Des adresses email spéciales de contact ont par ailleurs été mises en place. En France, il s’agit de « explora_park@vtech.com ».

Il y a cependant plus grave, et Vtech ne le dit pas dans son communiqué. Comme l'indiquait hier Motherboard, le pirates ont été capables d'obtenir également des selfies pris par les enfants ainsi que des journaux de conversation entre eux et leurs parents. Dans un entretien chiffré avec le site, le pirate a indiqué qu'il existait au total 190 Go de photos, dont un échantillon de 3 832 clichés a été fourni pour preuve à nos confrères.

vtech
Crédits : Motherboard

Évidemment, une enquête est en cours. Durant la première phase, le constructeur a préféré couper l’accès à 13 sites au total dont, en France, planetvtech.com, lumibeauxreves.com et planetvtech.fr. Parallèlement, l’entreprise a préféré fermer son service Learning Lodge, qui est en fait une boutique contenant de multiples contenus pour les enfants : musique, petites applications, livres électroniques et jeux.

La brèche a été repérée par un journaliste

C’est d’ailleurs dans Learning Lodge que tout a commencé le 14 novembre, quand des pirates ont réussi à percer les défenses de la société hongkongaise. Ce qui est clairement l’une des plus grosses fuites de données enregistrées a d’abord été repéré par le journaliste Lorenzo Franceschi-Bicchierai. Pour mieux comprendre ce qui lui semblait être un souci de sécurité, il s’est adressé à Troy Hunt, MVP Microsoft.

C’est l’analyse de ce dernier, publiée pendant le week-end, qui a montré l’ampleur de la brèche et la manière dont toutes ces données ont pu être récupérées. Il a commencé par vérifier la validité des données en passant par un outil de sa composition, baptisé HIBP (pour « have i been pwned? »). Par son intermédiaire, il a reçu six réponses durant les premières 24 heures qui pointaient vers une confirmation de la fuite.

vtech
Crédits : Troy Hunt

Chiffrement MD5, pas de SSL, mots de passe des enfants en clair...

Dans les données elles-mêmes se trouvait notamment un fichier « parents.csv » pesant pas moins de 1,7 Go. À l’intérieur, 4 833 678 adresses email uniques (elles étaient parfois répétées) accompagnées des données citées plus haut. Malheureusement, VTech n’a accompli qu’un faible travail de protection pour les données de ces clients. Troy Hunt s’est en effet rendu compte que les mots de passe, s’ils avaient bien été chiffrés, n’étaient passés qu’à la moulinette hacheuse MD5, que les pirates un tant soit peu équipés peuvent décrypter très rapidement (quelques minutes).

Et les erreurs de VTech s’enchainent. D’une part, toutes les communications des clients sur les sites concernés se sont faites sur la base de connexions non chiffrées : le SSL avait été mis de côté. De fait, tout ce qui touchait aux identifiants et mots de passe transitait par des connexions HTTP classiques. D’autre part, les mots de passe des comptes enfants étaient stockés en clair, et les pirates n’avaient donc aucun effort à faire pour les obtenir. Enfin, et c’est un très sérieux problème, Troy Hunt a montré qu’il était en fait très facile de relier les données des comptes enfants à celles des comptes parents. Traduction, les pirates peuvent facilement obtenir les adresses postales des enfants.

VTech n’a par ailleurs pas été très alerte. L’entreprise n’était en effet au courant de rien avant que Motherboard, qui a obtenu les informations du journaliste Lorenzo Franceschi-Bicchierai, ne l’en avertisse. Le communiqué publié ce week-end est d’ailleurs assez avare en informations et il n’est nulle part mention de l’ampleur de la fuite de données. En somme, comme l’indique The Next Web, ce piratage est pratiquement un cas d’école résumant tout ce qu’il est possible de rater sur le plan de la sécurité.

Le tout juste avant les fêtes de fin d'année

VTech indique quand même que l’enquête est en cours et que des mesures sont en train d’être prises pour renforcer la sécurité des informations personnelles. Malheureusement, il a encore une fois été nécessaire qu’une véritable catastrophe de ce genre survienne pour qu’une entreprise se penche sur un sujet qui devrait être pris au sérieux dès la création d’un fichier client.

Le calendrier est également intéressant puisque l’attaque a eu lieu à quelques semaines à peine des fêtes de fin d’année. Il n’est pas dit que la grande majorité des clients potentiels soient informés d’une telle fuite avant de faire leurs achats, d’autant que les produits VTech se trouvent très facilement dans les grandes surfaces et les magasins de jouets. VTech précise que d’autres informations seront publiées en temps et en heure quand elle aura avancé dans son enquête.

On rappellera que la CNIL avait publié le 2 septembre un compte-rendu faisant justement état du manque flagrant de protection des données personnelles sur les sites dédiés aux enfants. La Commission avait également mis en ligne des conseils pour les parents ainsi que pour les éditeurs de ce type de service. Mais l'article 34 de la loi Informatique et Libertés impose à toute entreprise - et plus globalement à toute entité responsable d'un fichier contenant des données personnelles - de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». VTech pourrait donc en Europe être tenue pour responsable de cette fuite si elle ne parvient pas à prouver qu'elle avait mis en place toutes les mesures nécessaires.

32 commentaires
Avatar de Commentaire_supprime Abonné
Avatar de Commentaire_supprimeCommentaire_supprime- 01/12/15 à 16:47:00

Signaler ce commentaire aux modérateurs :

Fallait pas qu'ils utilisent les ordinateurs qu'ils vendent comme jouets pour la gestion de leur boîte...

Avatar de Zergy Abonné
Avatar de ZergyZergy- 01/12/15 à 16:48:43

Signaler ce commentaire aux modérateurs :

Ils ne peuvent pas être en cause étant donné qu'ils ne peuvent être connecté à internet.

Avatar de alf Abonné
Avatar de alfalf- 01/12/15 à 16:55:48

Signaler ce commentaire aux modérateurs :

grmbl, suis dedans ... un de mes mdp à la con dans les dicos, fais suer ...

Avatar de Reznor26 INpactien
Avatar de Reznor26Reznor26- 01/12/15 à 17:03:46

Signaler ce commentaire aux modérateurs :

P'tain... elle est terrible cette fuite-là. 

Avatar de JackNUMBER INpactien
Avatar de JackNUMBERJackNUMBER- 01/12/15 à 17:13:11

Signaler ce commentaire aux modérateurs :

Quand on met cette news et celle-ci à coté, on se demande comment on peut vouloir laisser une entreprise profiler ses enfants :&nbsphttp://www.zataz.com/la-nouvelle-barbie-est-dangereuse-pour-les-enfants/

Pas encore actifs sur internet que les bambins sont déjà traqués :/

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 01/12/15 à 17:15:54

Signaler ce commentaire aux modérateurs :

Mais c'est pas possible... du MD5... mais putain, c'est aussi simple d'écrire md5( que sha-5( et sécurise un peu mieux. Mais moi dans ma petite boite de dev web, on sécurise mieux que ça en quelques minutes de code 

Vas'y tout en clair, vas y en http, vas y à l'arrache le code...

ils connaissent peut être pas fail2ban, ou artillery&nbsphttps://github.com/BinaryDefense/artillery je te dis pas...

Avatar de Nerkazoid INpactien
Avatar de NerkazoidNerkazoid- 01/12/15 à 17:16:27

Signaler ce commentaire aux modérateurs :

Autant la fuite est... autant VTech est indéfendable sur le coup.

Avatar de DniMam INpactien
Avatar de DniMamDniMam- 01/12/15 à 17:53:54

Signaler ce commentaire aux modérateurs :

Le seul moyen de vraiment sécuriser serait d'interdire de stocker les informations personnelles tel que l'adresse, les photos quand on fait un achat en ligne. C'est peut-être compliqué mais c'est la meilleure solution.

Le ponpon, c'est qu'ils ont fait comme les grenouilles, alors forcément ils avaient pas vu l'eau bouillir. la connexion chiffrée doit être obligatoire.

Avatar de Elwyns INpactien
Avatar de ElwynsElwyns- 01/12/15 à 18:22:22

Signaler ce commentaire aux modérateurs :

La sécurité , c'est un jeu d'enfants

Avatar de Fuinril INpactien
Avatar de FuinrilFuinril- 01/12/15 à 18:34:29

Signaler ce commentaire aux modérateurs :

Grosse erreur : le md5 ne se décrypte pas (par construction), il se casse par comparaison (rainbow table). Du coup si le mot de passe est unique (ce qu'ils devraient tous être), avoir le md5 d'un mot de passe ou rien c'est du pareil au même.

Et j'ai pas bien compris le coup du SSL.... ok, y avait pas de SSL et les identifiants transitaient par HTTP non chiffré. C'est pas bien, ça ouvre la porte au man in the middle tout ça, mais quel rapport ici ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 4