Jouets électroniques: La boutique d'applications VTech piratée

SECURITE Quelque 4,8 millions de comptes, et des données sur 200.000 enfants, auraient été touchés...

B.D.

— 

Démonstration de produits du fabricant de jouets électroniques VTech à New York, le 12 juin 2012.
Démonstration de produits du fabricant de jouets électroniques VTech à New York, le 12 juin 2012. — Diane Bondareff/AP/SIPA

Des millions de comptes exposés, dont des données relatives à des enfants. Le fabricant de jouets électroniques VTech a confirmé vendredi que Learning Lodge, sa boutique en ligne permettant de télécharger des applications éducatives, avait été piratée.

La base de données exposée contient notamment les noms, emails, mots de passe, adresses IP et adresses physiques de ses clients. Selon le site Motherboard, qui a le premier dévoilé la cyber attaque, la base de données contenait aussi les prénoms, sexe, et date d’anniversaire de plus de 200.000 enfants. Et l’attaque pourrait avoir permis de relier les données concernent les parents à celles de leurs enfants. Motherboard annonce que quelque 4,8 millions de comptes auraient été touchés. Cependant, VTech n’a pas donné de chiffre officiel.

Algorithme obsolète

L’intrusion remonte au 14 novembre, mais n’a été détectée que le 23 novembre, lorsqu’un journaliste a contacté l’entreprise pour lui poser des questions à ce sujet, indique VTech sur sa FAQ. L’entreprise a souligné qu’elle avait entamé une enquête et mis en place des mesures pour contrer de nouvelles attaques, sans préciser lesquelles.

En effet, si les données étaient bien protégées par un algorithme de hachage (MD5), celui-ci est obsolète, et son utilisation déconseillée depuis plusieurs années. Selon Troy Hunt, Microsoft Most Valuable Professional (MVP) et spécialiste de la sécurité, les internautes ayant tendance à utiliser un même mot de passe pour plusieurs services en ligne, la brèche dans la base de données de VTech pourrait permettre aux hackers de s’introduire sur d’autres comptes Internet de ses clients.