Piratage et fuite de données personnelles chez le fabricant de jouets VTech
Florilège des (très) mauvaises pratiques
Le fabricant de jouets VTech a été victime d’une importante fuite de données. Les informations personnelles de cinq millions d’adultes et de 200 000 enfants ont ainsi été exposées. De nombreux pays sont touchés, dont la France, et la société a été obligée de fermer son service Learning Lodge.
Dans un communiqué publié hier, la société VTech a confirmé avoir été victime d’une importante attaque qui a abouti au vol d’une très importante quantité d’informations sur sa clientèle. Ces données émanent de pas moins de cinq millions de comptes créés sur les différents sites et services reliés à VTech. Parmi ces informations, on retrouve l’adresse email, le nom, le mot de passe, la question secrète et sa réponse, l’adresse IP, l’adresse postale ou encore l’historique de téléchargement.
5 millions d'adultes, 200 000 enfants, 13 sites
Cette masse de données contient également des informations sur environ 200 000 enfants : nom, sexe et date de naissance. Cependant, aucune donnée à caractère très sensible n’est stockée de cette manière, notamment tout ce qui touche aux paiements. On ne retrouve donc pas de numéro de carte bancaire, de sécurité sociale, de carte d’identité ou de permis de conduire. Dans son communiqué, VTech a indiqué hier que tous les clients touchés avaient été contactés par email pour les informer de la brèche et de la fuite des données. Des adresses email spéciales de contact ont par ailleurs été mises en place. En France, il s’agit de « [email protected] ».
Il y a cependant plus grave, et Vtech ne le dit pas dans son communiqué. Comme l'indiquait hier Motherboard, le pirates ont été capables d'obtenir également des selfies pris par les enfants ainsi que des journaux de conversation entre eux et leurs parents. Dans un entretien chiffré avec le site, le pirate a indiqué qu'il existait au total 190 Go de photos, dont un échantillon de 3 832 clichés a été fourni pour preuve à nos confrères.
Évidemment, une enquête est en cours. Durant la première phase, le constructeur a préféré couper l’accès à 13 sites au total dont, en France, planetvtech.com, lumibeauxreves.com et planetvtech.fr. Parallèlement, l’entreprise a préféré fermer son service Learning Lodge, qui est en fait une boutique contenant de multiples contenus pour les enfants : musique, petites applications, livres électroniques et jeux.
La brèche a été repérée par un journaliste
C’est d’ailleurs dans Learning Lodge que tout a commencé le 14 novembre, quand des pirates ont réussi à percer les défenses de la société hongkongaise. Ce qui est clairement l’une des plus grosses fuites de données enregistrées a d’abord été repéré par le journaliste Lorenzo Franceschi-Bicchierai. Pour mieux comprendre ce qui lui semblait être un souci de sécurité, il s’est adressé à Troy Hunt, MVP Microsoft.
C’est l’analyse de ce dernier, publiée pendant le week-end, qui a montré l’ampleur de la brèche et la manière dont toutes ces données ont pu être récupérées. Il a commencé par vérifier la validité des données en passant par un outil de sa composition, baptisé HIBP (pour « have i been pwned? »). Par son intermédiaire, il a reçu six réponses durant les premières 24 heures qui pointaient vers une confirmation de la fuite.
Chiffrement MD5, pas de SSL, mots de passe des enfants en clair...
Dans les données elles-mêmes se trouvait notamment un fichier « parents.csv » pesant pas moins de 1,7 Go. À l’intérieur, 4 833 678 adresses email uniques (elles étaient parfois répétées) accompagnées des données citées plus haut. Malheureusement, VTech n’a accompli qu’un faible travail de protection pour les données de ces clients. Troy Hunt s’est en effet rendu compte que les mots de passe, s’ils avaient bien été chiffrés, n’étaient passés qu’à la moulinette hacheuse MD5, que les pirates un tant soit peu équipés peuvent décrypter très rapidement (quelques minutes).
Et les erreurs de VTech s’enchainent. D’une part, toutes les communications des clients sur les sites concernés se sont faites sur la base de connexions non chiffrées : le SSL avait été mis de côté. De fait, tout ce qui touchait aux identifiants et mots de passe transitait par des connexions HTTP classiques. D’autre part, les mots de passe des comptes enfants étaient stockés en clair, et les pirates n’avaient donc aucun effort à faire pour les obtenir. Enfin, et c’est un très sérieux problème, Troy Hunt a montré qu’il était en fait très facile de relier les données des comptes enfants à celles des comptes parents. Traduction, les pirates peuvent facilement obtenir les adresses postales des enfants.
VTech n’a par ailleurs pas été très alerte. L’entreprise n’était en effet au courant de rien avant que Motherboard, qui a obtenu les informations du journaliste Lorenzo Franceschi-Bicchierai, ne l’en avertisse. Le communiqué publié ce week-end est d’ailleurs assez avare en informations et il n’est nulle part mention de l’ampleur de la fuite de données. En somme, comme l’indique The Next Web, ce piratage est pratiquement un cas d’école résumant tout ce qu’il est possible de rater sur le plan de la sécurité.
Le tout juste avant les fêtes de fin d'année
VTech indique quand même que l’enquête est en cours et que des mesures sont en train d’être prises pour renforcer la sécurité des informations personnelles. Malheureusement, il a encore une fois été nécessaire qu’une véritable catastrophe de ce genre survienne pour qu’une entreprise se penche sur un sujet qui devrait être pris au sérieux dès la création d’un fichier client.
Le calendrier est également intéressant puisque l’attaque a eu lieu à quelques semaines à peine des fêtes de fin d’année. Il n’est pas dit que la grande majorité des clients potentiels soient informés d’une telle fuite avant de faire leurs achats, d’autant que les produits VTech se trouvent très facilement dans les grandes surfaces et les magasins de jouets. VTech précise que d’autres informations seront publiées en temps et en heure quand elle aura avancé dans son enquête.
On rappellera que la CNIL avait publié le 2 septembre un compte-rendu faisant justement état du manque flagrant de protection des données personnelles sur les sites dédiés aux enfants. La Commission avait également mis en ligne des conseils pour les parents ainsi que pour les éditeurs de ce type de service. Mais l'article 34 de la loi Informatique et Libertés impose à toute entreprise - et plus globalement à toute entité responsable d'un fichier contenant des données personnelles - de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ». VTech pourrait donc en Europe être tenue pour responsable de cette fuite si elle ne parvient pas à prouver qu'elle avait mis en place toutes les mesures nécessaires.
Commentaires (32)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/12/2015 à 17h16
Autant la fuite est… autant VTech est indéfendable sur le coup.
Le 01/12/2015 à 17h53
Le seul moyen de vraiment sécuriser serait d’interdire de stocker les informations personnelles tel que l’adresse, les photos quand on fait un achat en ligne. C’est peut-être compliqué mais c’est la meilleure solution.
Le ponpon, c’est qu’ils ont fait comme les grenouilles, alors forcément ils avaient pas vu l’eau bouillir. la connexion chiffrée doit être obligatoire.
Le 01/12/2015 à 18h22
La sécurité , c’est un jeu d’enfants
" />
Le 01/12/2015 à 18h34
Grosse erreur : le md5 ne se décrypte pas (par construction), il se casse par comparaison (rainbow table). Du coup si le mot de passe est unique (ce qu’ils devraient tous être), avoir le md5 d’un mot de passe ou rien c’est du pareil au même.
Et j’ai pas bien compris le coup du SSL…. ok, y avait pas de SSL et les identifiants transitaient par HTTP non chiffré. C’est pas bien, ça ouvre la porte au man in the middle tout ça, mais quel rapport ici ?
Le 01/12/2015 à 18h42
Le 01/12/2015 à 19h16
Le 01/12/2015 à 19h23
Dans le doute abstiens toi
" />
" />
" />
On va encore nous dire que la sécurité leur a mal été présentée et que c’est apparu trop couteux par rapport au risque et qu’il a donc été accepté.
La fameuse arme secrète de la sécurité “Ok, nous vous avons prévenus, faites moi un mail, pour mes archives, comme quoi vous acceptez le risque en toute connaissance de cause.”
Tant que la sécurité sera présentée, perçue… comme relevant uniquement du technique et non du point de vue de la sécurité de l’entreprise, incluant la réputation, l’image de marque… Les mêmes causes produisant les mêmes effets
Le 01/12/2015 à 19h24
Il serait bon qu’ils se prennent une condamnation record, histoire de faire réfléchir les autres sur l’avenir.
Le 01/12/2015 à 19h26
Ouch… Bien content de ne pas avoir enregistré le produit, au moins ils n’ont aucune donnée sur ma famille…
Le 01/12/2015 à 19h26
Le 01/12/2015 à 19h52
Quand on voit le coût d’un certif SSL et les différentes “bonnes pratiques” pour protéger des systèmes, ce genre de truc laisse vraiment perplexe.
J’ai l’impression que plus la boite est grosse et plus le laisser aller à important. Surtout que VTech est une boite spécialisée dans l’informatique / numérique depuis 40 ans. À ce point, c’est juste inexcusable.
Les parents sont aussi à blâmer, car on ne fait pas transiter des infos concernant ses gamins sur internet ! C’est bien beau de faire “Bouh le méchant cloud” après…
Le 01/12/2015 à 20h04
Le 01/12/2015 à 20h19
Le 01/12/2015 à 21h11
Le 01/12/2015 à 21h17
Le 01/12/2015 à 21h35
Le 01/12/2015 à 16h47
Fallait pas qu’ils utilisent les ordinateurs qu’ils vendent comme jouets pour la gestion de leur boîte…
" />
" />
" />
" />
" />
Le 01/12/2015 à 16h48
Ils ne peuvent pas être en cause étant donné qu’ils ne peuvent être connecté à internet.
" />
Le 01/12/2015 à 16h55
grmbl, suis dedans … un de mes mdp à la con dans les dicos, fais suer …
Le 01/12/2015 à 17h03
P’tain… elle est terrible cette fuite-là. 
" />
Le 01/12/2015 à 17h13
Quand on met cette news et celle-ci à coté, on se demande comment on peut vouloir laisser une entreprise profiler ses enfants : http://www.zataz.com/la-nouvelle-barbie-est-dangereuse-pour-les-enfants/
Pas encore actifs sur internet que les bambins sont déjà traqués :/
Le 01/12/2015 à 17h15
Mais c’est pas possible… du MD5… mais putain, c’est aussi simple d’écrire md5( que sha-5( et sécurise un peu mieux. Mais moi dans ma petite boite de dev web, on sécurise mieux que ça en quelques minutes de code 
" />
GitHubje te dis pas…
Vas’y tout en clair, vas y en http, vas y à l’arrache le code…
ils connaissent peut être pas fail2ban, ou artillery 
Le 02/12/2015 à 05h55
Traduction, les pirates peuvent facilement obtenir les adresses postales des enfants.
C’est un jeu de données en or qu’ils ont volé là.
Ca peut se revendre très cher à un pédophile ca. L’adresse des gamins, ce à quoi ils jouent, leur photos, etc…
Le 02/12/2015 à 08h45
“Dans les données elles-mêmes se trouvait notamment un fichier
" />
« parents.csv » pesant pas moins de 1,7 Go. À l’intérieur, 4 833 678
adresses email uniques (elles étaient parfois répétées) accompagnées des
données citées plus haut”
Le 02/12/2015 à 09h25
Le 02/12/2015 à 10h03
Le 02/12/2015 à 10h53
Le 02/12/2015 à 11h17
Le 02/12/2015 à 12h51
Hallucinant. Ca me concernerait, je porterais plainte direct.
Le 02/12/2015 à 12h57
boogieplayer a écrit :
crypt() n’est pas conseillé, car le chiffrage est faible. Préférer password_hash()https://secure.php.net/manual/fr/function.password-hash.php
crypt() est configurable, on peut même rajouter des itérations (bon, pas conseillé).
L’avantage password_hash() est de rajouter le support de bcrypt, mais il faut une version de php très récente.
Le 02/12/2015 à 15h16
Ouep, depuis son support natif dans php je l’utilise dans nos devs pour nos clients 
" />
Le 03/12/2015 à 08h56
brypt et puis c’est tout
" />