Wikistrike

Wikistrike

Rien ni personne n'est supérieur à la vérité

Les jouets connectés piratés pour récupérer les données personnelles des enfants

Publié par wikistrike.com sur 2 Décembre 2015, 09:52am

Catégories : #Science - technologie - web - recherche

Les jouets connectés piratés pour récupérer les données personnelles des enfants

Le pirate, heureusement bienveillant, a voulu démontrer la facilité à voler des données pessonnelles.

 

Un pirate informatique a pu récupérer des millions de profils de parents et d'enfants inscrits sur des plateformes en ligne du fabricant de jouets. Il affirme qu'il ne les divulguera pas.

 

«Franchement, ça me rend malade d'avoir réussi à obtenir tout ça.» Ces mots, tirés d'une interview avec Motherboard, viennent de la personne qui a commis un piratage de masse dirigé à l'encontre de VTech, un fabricant hongkongais de jouets connectés. Il a dérobé les données personnelles de plus de cinq millions de parents, et de plus de 200.000 enfants. Le leader mondial des jouets éducatifs électroniques a des filiales autour du monde, y compris en France. Des clients français sont donc susceptibles d'avoir été touchés par le piratage.

Notamment les noms, prénoms et date de naissance des enfants, mais aussi les adresses postales et électroniques, les mots de passe et les «questions de sécurité» des parents. Toutes ces informations peuvent être utilisées à des fins d'usurpation d'identité. Plus sinistre: plusieurs dizaines de milliers de photographies, la plupart étant des autoportraits d'enfants, ont été dérobées, équivalant à 190 gigaoctets d'images. Des extraits de discussion audio et par texte ont également été trouvés. L'application Kid Connect, qui permet aux parents et aux enfants de communiquer entre un appareil VTech et des smartphones, a ainsi été touchée. Celui qui dispose de ces données peut théoriquement relier le profil d'un enfant (son nom complet) avec celui de ses parents, où l'on trouve parfois une adresse postale.

Plusieurs services de VTech suspendus

Le pirate, qui ne s'est exprimé qu'auprès du site spécialisé Motherboard, affirme qu'il ne vendra pas les données qu'il a obtenues. Il a seulement transmis quelques extraits de ce qu'il a obtenu au média afin d'authentifier son piratage. «C'était assez facile à récupérer», explique-t-il à Motherboard, «alors quelqu'un avec des motivations plus nocives pourrait facilement l'obtenir». Il n'est pas impossible qu'une telle attaque, par un acteur malveillant, ait eu lieu auparavant. Vraisemblablement seul dans l'affaire, le pirate a, d'après ses dires, utilisé une technique assez traditionnelle et peu sophistiquée pour accéder à la base de données de l'entreprise.

VTech a informé les personnes concernées par l'attaque que leurs informations personnelles peuvaient se trouver dans la nature, et a suspendu plusieurs services en ligne dont l'Explora Park, le magasin interne d'applications par lequel le pirate est parvenu à infiltrer ses serveurs. Plusieurs États américains ont annoncé qu'ils allaient enquêter sur cette brèche. Les parents qui ont utilisé un jouet VTech connecté à Internet peuvent tester leur adresse mail sur le site Have I Been Pwned?, créé par Troy Hunt, un chercheur australien en sécurité informatique.

La facilité avec laquelle a été menée l'attaque montre la part de responsabilité de l'entreprise hongkongaise dans l'affaire. De nombreuses informations, comme les photos des enfants ou certaines de leurs informations personnelles, auraient pu être stockées sur les appareils plutôt que sur les serveurs de VTech. Les mots de passe trouvés dans la base de données, eux, étaient chiffrés par un algorithme réputé obsolète depuis 2012.

 

Source

Commenter cet article

Archives

Articles récents