BFM Tech

VTech: 6,5 millions de comptes d’enfants piratés, dont 1 million de français

-

- - VTech

Parmi les données piratées se trouvent des retranscriptions de messages instantanés, des photos et fichiers audio que les enfants ont réalisés avec leurs jouets high-tech. La France est particulièrement touchée.

Le piratage des serveurs de VTech est encore plus catastrophique qu'on ne l'imaginait au départ. Le fabricant de jouets high-tech a révélé sur son site que ce n'étaient pas 227.000 comptes d’enfants qui ont été siphonnés, mais plus de… 6,5 millions. Ils viennent s'ajouter aux plus de 4,8 millions de comptes de parents dont on avait déjà connaissance. La France est le deuxième pays le plus touché par cette affaire, avec 1,17 million de comptes d’enfants et 868.650 comptes de parents dans la nature.

Vtech confirme que parmi les données d’enfants figurent leur nom, leur sexe et leur date de naissance. Mais ce ne serait pas tout. Selon le site d’information Motherboard, qui avait reçu ces données en premier de la main d’un hacker, les données piratées contiennent également des fichiers multimédia produits par les enfants avec leurs jouets high-tech. À savoir des photos, des fichiers audio et des messages instantanés. Ces derniers n’étaient visiblement pas stockés de manière chiffrée, car le site a pu consulter un lot de messages dont certains datés de décembre 2014. Pourtant, selon VTech, les messages instantanés ne seraient stockés que pendant 30 jours…

Un chiffrement faiblard

Sur son site, le fabricant cherche également à rassurer ses clients en expliquant que les photos et les fichiers sons étaient bien stockés de manière chiffrée, au moyen d’un puissant algorithme (AES 128 bits). Mais d’après un expert interrogé par Motherboard, l’implémentation technique de cet algorithme chez VTech ne serait pas très bonne. Il pourrait donc être possible de déchiffrer en partie ces données multimédias. Compte tenu des failles déjà mentionnées dans un précédent article, il apparaît clairement que l’infrastructure de VTech était bien trop peu sécurisée compte tenu des données sensibles qu’elle manipulait.

Quel est le risque pour les utilisateurs concernés? Pour l’instant, il est difficile de répondre à cette question. Le hacker qui a livré les données à Motherboard explique ne pas les avoir transmises à quelqu’un d’autre. Il aurait simplement agi comme un lanceur d’alerte. Toutefois, même si c’est vrai, cela ne veut pas dire qu’elles n'ont jamais fuité auparavant : un autre pirate, moins scrupuleux, a pu facilement siphonner les serveurs de VTech sans mot dire.

Gilbert Kallenborn