La Commission nationale pour la protection des données et Securitymadein.lu, dans le cadre de l’initiative bee-secure, s’associent pour sensibiliser le public sur la fuite de données de la compagnie VTECH et de ses conséquences pour le public Luxembourgeois.

VTECH a reconnu dans une FAQ qu’une de ses bases de données n’était suffisamment sécurisée, et avait fait l’objet d’une fuite :

• 4,854,209 profils de parents et 6,368,509 profils d’enfants ont fuité selon la communication officielle de VTECH,
• Ceci concerne 5014 profils d’enfants et 4190 profils de parents au Grand-Duché du Luxembourg,
• Au total, c’est une base de données de 190 giga-octets qui a disparu dans la nature.

La Commission nationale pour la protection des données (CNPD) a été informée du piratage et est en train d’évaluer la situation.

Les recommandations de Securitymadein.lu

• Contactez l’entreprise : n’hésitez pas à demander à VTECH quelles données vous concernent.
• Changez vos mots de passe sur tous les autres sites sur lesquels vous utilisez le même mot de passe ou un mot de passe similaire. De manière générale, tenez-vous aux bonnes pratiques pour choisir des mots de passe forts et ne choisissez jamais le même mot de passe pour différents services.
• Changer votre question et réponse secrète sur tous les autres sites sur lesquelles vous utilisez les mêmes combinaisons ou des combinaisons similaires.
• Ne cédez pas au chantage : si on essaie de vous faire chanter et que l’on vous demande une somme d’argent, ne cédez pas et contactez la Police. Pour connaître les impacts d’une fuite de données plus en détail, lisez notre news : « fuite de données, tous concernés ».
• Gare au phishing : on pourrait utiliser vos données personnelles pour mener des campagnes de phishing. Pour plus d’informations: https://www.bee-secure.lu/fr/glossaire/phishing.

Enfin, BEE SECURE recommande de ne jamais laisser votre enfant connecté sans surveillance.

Faille de sécurité et requête SQL

Le site américain Vice.com via sa plateforme Motherboard a révélé que l’entreprise de jouets connectés VTECH a été piraté le 14 novembre 2015. Un attaquant a eu accès au contenu de la base de données du système nommé Explor@Park / Learning Lodge, une  plateforme qui permet aux consommateurs de télécharger des contenus pour certains jouets VTECH. Par ce biais, l’attaquant s’est aussi emparé des données du service “Kid Connect”. L’attaquant a exploité une faille de sécurité en injectant une requête SQL. Il s’agit d’une méthode d’attaque qui consiste à insérer des commandes malignes dans le formulaire d’un site pour le piéger et l’amener à dévoiler d’autres données contenues dans la base de données.

C’est un attaquant anonyme qui a alerté un journaliste de Motherboard en indiquant que les données étaient disponibles et que celui-ci a pu les récupérer.

Apparemment, d’autres hackers pourraient avoir profité des failles de sécurité des serveurs de VTECH, et auraient pu récupérer ces informations. 

Quelles données sont dans la nature ?

Sachez que VTECH France a communiqué de manière contradictoire quant à la nature des données qui ont fuité. VTECH France avait déclaré qu’aucune adresse personnelle n’avait été dérobée, pourtant les adresses postales ont bel et bien été extraites des serveurs de VTECH.

Les informations des comptes « parent »

• Nom / prénom
• Mot de passe
• Question secrète
• Indice de mot de passe
• Réponse secrète
• Adresse IP
• Adresse Email
• Adresse postale
• Historique de téléchargements

Les informations des comptes « enfant »

• Nom / prénom
• Nom d’utilisateur
• Nom du parent de l’enfant
• Sexe
• Date de naissance

Les informations de Kid Connect: les fichiers multimédias

• Fichiers audio
• Les photos
• Historiques des messages de la messagerie instantanée
• Les vidéos

En clair, pour chaque individu, il est possible de rassembler les données volées et de relier parents et enfants. 

Source: Motherboard: http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech

Le Cloud de VTECH

La solution Cloud de VTECH se nomme Explor@Park / Learning Lodge. Il propose des applications de messagerie instantanée comme l’application Kid Connect, qui permet de communiquer non seulement par texte, mais aussi par le biais de messages vocaux, de vidéos ou de photos. Ces communications ainsi que l’ensemble des données échangées transitent via le Cloud de VTECH.

Cette affaire est une bonne illustration de la nécessité de lire les conditions générales d’utilisation des services Cloud (voir dossier “Conditions générales d’utilisation” sur  https://www.bee-secure.lu/fr/outils/campagnes/clever-cloud-user/thèmes/eula).