Piratage chez Vtech, ou comment des millions de comptes d’enfants ont été volés

Sur le web

Par le

Vtech, le nom ne me disait rien jusque là et pourtant l’entreprise basée à Honk-Hong n’est vraiment pas des plus petites. Avec son chiffre d’affaire annuel qui avoisine les deux milliards de dollars, l’entreprise est un fournisseur majeur de produit électroniques, notamment liés à la petite enfance et à l’enfance.

C’est d’ailleurs ce qui nous intéresse aujourd’hui puisque cette entreprise a été victime d’un piratage d’une très grosse ampleur. Cela pourrait ne pas être très important, mais cette entreprise, pour pouvoir fournir correctement ses services, possède des milliers de comptes d’enfants et de leur parents autour du globe. Quels genre de services l’entreprise peut elle fournir qui nécessite de garder de telle données ?

Un service de communication entre les parents (via une application sur leur téléphone) et leurs enfants (sur un jouet) enregistrait quelques informations pour les enfants (nom, prénom, anniversaire, photo, etc) et des informations beaucoup plus nombreuses pour les parents (nom, prénom, adresses mail et postale, mot de passes, historique des téléchargements, etc).

New VTech Logo

L’entreprise à donc failli à protéger les données des enfants et des parents (5 millions au total au bout du compte). L’entreprise indique qu’aucune donnée bancaire n’a été compromise lors de ce piratage puisque la base de donnée atteinte par le(s) pirate(s) ne contenait pas les données bancaires des client de l’entreprise.

Bien sur, le groupe Vtech annonce avoir bouché la brèche ayant servi à l’attaque. Mais le mal semble être fait puisque le pirate en question, contacté par le site Motherboard indique avoir aussi eu accès à des messages écrits et audio envoyés par les parents et les enfants et appuie ses propos d’enregistrements.

Bonne nouvelle cependant, il semblerait que le pirate ne soit pas un black-hat, il ne semble en tout cas pas vouloir retirer quoi que ce soit de ce hack si ce n’est une meilleure protection des données de la firme. Les seuls documents publiés jusque là l’on été par le site Motherboard et les informations personnelles ont été rendues anonymes. L’idée était plus de remettre en question la sécurité de l’entreprise.

Vtech avait bien mis en place des sécurités pour protéger les données de ses utilisateurs mais ces dernières n’étaient pas suffisantes et obsolètes. Il était recommandé depuis des années de ne plus utiliser la méthode de chiffrement des données utilisée par l’entreprise.

Source: Source