VTech piraté : Des millions de comptes clients et profils d’enfants volés

2
120

VTech Holdings, le fabricant de jouets a été victime d’un piratage informatique d’envergure sur l’une de ses bases de données. 5 millions de comptes clients et 200 000 profils d’enfants du monde entier ont été dérobés par les attaquants.

D’après la communication officielle de VTech, il semblerait que ce soit l’application Learning Lodge (ou Explora Park) qui a été visée par une attaque de type injection SQL (SQLi). Le fabricant aurait tardé à se rendre compte de la brèche, détectée autour du 14 novembre 2015, comme l’indique le communiqué officiel.

La base de données piratée contenait des « informations sur les enfants, comme leur nom, genre et date d’anniversaire » ainsi que celles, plus détaillées, concernant les clients adultes ayant ouvert les comptes : « Nom, adresse email, mot de passe, question secrète et réponse pour récupérer le mot de passe, adresse IP, adresse postale et historique des téléchargements ».

« Nous avons immédiatement mené une enquête approfondie, inspecté exhaustivement le site touché et mis en place des mesures de protection contre d’autres attaques », assure le groupe.

Aucune information sur le chiffrement ou non des mots de passe par voie officielle. Seul point positif si l’on peut dire, aucune information bancaire n’était présente dans celle-ci. C’est une bien maigre consolation, sachant que le pirate semble avoir mis la main sur plusieurs fichiers privés en plus des données de la base…

Pour Motherboard, la fuite de donnée est immense et va bien plus loin que les information textuelles des identités des utilisateurs. Le pirate résumé a en effet affirmé avoir pu obtenir des milliers de photos des enfants et des parents concernés ainsi que de messages échangés par écrit (ou audio) entre parents et enfants, à travers les tablettes du groupe. Des preuves de cela ont même été diffusées, via un système de tchat sécurisé en ligne. Le pirate s’est même vanté de la facilité de l’intrusion et du dump, après avoir obtenu les privilèges root sur le serveur Web de VTech.

have-i-been-pwned

D’après le site spécialisé Have I Been Pwned, il s’agirait là de la quatrième plus grosse brèche historique après Adobe, Ashley Madisonet 000WebHost. Le chercheur en sécurité Troy Hunt a pu analyser les données leakées de VTech et a dénombré exactement 4 833 678 adresses mails uniques. Concernant les mots de passe, il a confirmé que ces derniers sont hashés en MD5, sans salt, donc facilement crackable. Un autre point critique dans cette affaire donc.

vtech-leak-database

Une brèche très critique, des enfants touchés

Il s’agit là d’une première mondiale, jamais des données d’enfants n’avaient été directement exposées lors d’un piratage. Tous les experts en sécurité sont très inquiets à ce sujet.

« Cela veut dire que, potentiellement, un pirate peut cibler directement un enfant. Or, ce dernier n’est pas sensibilisé aux problématiques du piratage ! », avertit Loïc Guezo, expert chez Trend Micro.

« Nous avons contacté chaque personne de la base de données par mail pour l’alerter de l’exposition potentielle de leurs données », a tenté de rassurer VTech dans un communiqué.

« Les motivations d’un pirate peuvent être multiples. Il peut juste chercher l’exploit ou la reconnaissance. Avoir un mot de passe démultiplie les possibilités du cybercriminel, dans la mesure où l’internaute utilise souvent le même mot de passe pour un tas de services et de sites », dit David Emm, chercheur en sécurité chez Kaspersky Lab.

« Ce qui me frappe, c’est que VTech ne s’est pas rendu compte du problème. Il a fallu qu’un tiers l’alerte. On voit là le cas typique d’une entreprise qui fabrique des produits, et non du logiciel, et dont la sécurité n’est pas le cœur de métier », analyse Loïc Guezo. Plus inquiétant, il s’agirait d’une attaque rudimentaire. « Trois ou quatre jours suffisent à quelqu’un d’expérimenté pour mener ce genre d’opérations. Un compte vaut entre 50 centimes et 2 euros », dit Gérome Billois, expert chez Solucom.

« Si le pirate est doué, il efface ses traces afin que personne ne s’aperçoive de rien. Un numéro de carte bancaire se vend au marché noir entre 15 dollars pour une CB de base et 130-140 dollars pour une carte Infinite », dit Thierry Karsenti, vice-président technique Europe de Checkpoint, société spécialisée en sécurité informatique.

Dans une mise à jour du 2 décembre, VTech a fait un point complet sur la situation critique. Il s’avère que se sont 6,3 millions de profils d’enfants qui ont été volés. Etant donné l’absence de données bancaires pour avoir des profils complets des victimes, il faut s’attendre à des campagnes de phishing très ciblées et personnalisées (les plus dangereuses) de la part des pirates, qui vont tout tenter pour récupérer ces précieuses données.

Les sites touchés sont :

  • www.planetvtech.com
  • www.lumibeauxreves.com
  • www.planetvtech.fr
  • www.vsmilelink.com
  • www.planetvtech.de
  • www.planetvtech.co.uk
  • www.planetvtech.es
  • www.proyectorvtech.es
  • www.sleepybearlullabytime.com
  • de.vsmilelink.com
  • fr.vsmilelink.com
  • uk.vsmilelink.com
  • es.vsmilelink.com

Selon les dires de VTech, les images et les flux audios seraient chiffrées en AES128, ce qui est étrange puisque de nombreuses photos en clair ont déjà été publiées comme preuve par le pirate… les logs des tchats sont quant à eux en clair, stockés 30 jours avant destruction.

Le service Kid Connect a été suspendu jusqu’à nouvel ordre, mais le mal est fait malheureusement. Une chose est sûre, la communication de VTech va être chaotique à quelques semaines à peine des fêtes de Noël… l’immense fuite risque de se faire fortement ressentir sur les ventes !

Les commentaires sont fermés.