VTech: la cible d’un piratage

Après les employés de Sony, les clients de la chaîne de magasins Target et les utilisateurs du site de rencontres adultères Ashley Madison, les cyberpirates s’en prennent désormais aux enfants. Vendredi 27 novembre, le fabricant de jouets technologiques a admis avoir été la cible d’un piratage de grande ampleur, concernant 4,8 millions de clients.

VTech a reçu un très beau cadeau de Noël. Alors que les fêtes de fin d’années approchent, la société spécialisée dans la vente de jouets et de jeux vidéos ludo-éducatif, a connu la plus grande cyberattaque de son histoire. En effet, un hacker a piraté en masse ses serveurs le 14 novembre. L’entreprise n’a réalisé le vol des données que 10 jours plus tard, n’en informant ses clients que le 27 novembre. Elle a mis à disposition sur Twitter mail et téléphone.

 

Des données personnelles dérobées
Dans un communiqué publié hier, Vtech a affirmé que près de 5 millions de comptes de parents ont été exposés à l’attaque. La société a tenté de minimiser cet acte de piratage en assurant qu’aucune donnée sensible, comme des numéros de cartes de crédit, de Sécurité sociale ou de carte d’identité, n’avait été dérobées. Le pirate a tout de même réussi à mettre à la main sur les prénoms, les genre et les dates de naissance de plus de 200 000 enfants ont été volés, tous inscrits à son service de téléchargement et de vente en ligne. La récolte ne s’est pas arrêtée aux données. Des photos, des échanges de tchat et même des enregistrements audios ont été récupérés.

 

Inquiétant aussi, la méthode utilisée pour récupérer les données, l’injection SQL. Ils suffit de s’y connaître un peu et tout le monde peut le faire. Ce qui révèle le peu d’implication de Vtech sur la sécurité des données de ses clients. Pour réparer la faille, la société a annoncé avoir fermé la quasi-totalité de ses plateformes. Elle se dit par ailleurs «engagée dans la protection des informations de la vie privée de [ses] clients, pour s’assurer que de tels incidents ne se produisent plus dans le futur ». Le minimum qu’ils puissent faire.

 

Il ne s’agirait pas d’une opération cybercriminelle. Le hacker responsable de l’intrusion a révélé les faits à Motherboard, le site high-tech du magazine branché Vice. « Les motivations d’un pirate peuvent être multiples. Il peut juste chercher l’exploit ou la reconnaissance », dit David Emm, chercheur en sécurité chez Kaspersky Lab.

Lire aussi: Quatre questions pour comprendre le piratage historique de Sony Pictures

 

 


Margot Maucuit

 

 

Écrit par margot.maucuit