Selon le site « Have I been pwned ? », c’est le quatrième vol de données le plus important jamais enregistré. Le 14 novembre dernier, un hacker a siphonné la base de données de VTech, un fabricant de jouets électroniques (tablettes, appareils photos…). Il a pu transférer les données personnelles de 4,8 millions de comptes de parents ainsi que de 227 000 comptes d’enfants. Le hacker a prouvé son acte en envoyant toutes ces données à Motherboard, un site high-tech américain. Coup de bol : le voleur de données explique ne pas avoir l’intention d’utiliser ces données de manière frauduleuse, en les vendant sur le Dark Net par exemple. Il les aurait envoyées uniquement à Motherboard. Ce qui ne veut pas dire que ces données n’ont pas déjà été piratées avant. « C’était très facile à télécharger. Quelqu’un d’autre, avec des objectifs plus sombres, aurait facilement pu le faire », souligne le hacker anonyme.
VTech a confirmé le piratage dans un communiqué. L’entreprise souligne que les données perdues ne contiennent aucun numéro de carte bancaire, ni aucun numéro d’identification (permis, sécurité social, carte d’identité). En revanche, elles contiennent des noms, des adresses email, des mots de passe, des questions secrètes avec leurs réponses, des adresses IP, des adresses postales, ainsi que l’historique de téléchargement. En effet, ces comptes servaient avant tout à se connecter au site web de VTech où l’on pouvait se procurer des applications mobiles pour les jouets des enfants et les terminaux des parents.
Le plus frappant dans cette affaire, c’est le faible niveau de sécurité mis en place par VTech. Le hacker explique avoir pu mettre la main sur ces données grâce à une attaque par injection SQL qui lui a donné un accès « root » sur la base de données. Ce type de piratage est assez basique et prouve que les infrastructures de VTech étaient très mal protégées. Mais ce n’est pas tout. Selon Troy Hunt, un chercheur en sécurité chez Microsoft qui a pu analyser les données, les mots de passe stockés dans la base n’étaient même pas chiffrés. Ils étaient seulement codés par l’algorithme de hachage MD5. Les décoder est immédiat. Par ailleurs, les questions de sécurité et leurs réponses étaient stockées en clair. Or, les mêmes questions peuvent être utilisées pour d’autres comptes, et permettraient donc d’y accéder.
Des failles grossières
Troy Hunt précise aussi que les sites de VTech n’utilisent pas de connexions sécurisées (SSL/TLS) lorsque les utilisateurs enregistrent leurs comptes, alors que cela devrait être la règle. Enfin, le chercheur précise avoir trouvé d’autres failles grossières sur les sites de VTech permettant de récupérer des données personnelles sur les utilisateurs. « Les corriger ne sera pas simple. Les failles sont fondamentales et j’ai recommandé [à VTech] de déconnecter leurs sites au plus vite », explique-t-il. C’est d’ailleurs ce que le fabricant a fait. Dommage pour lui que cela arrive quelques semaines avant Noël…
Sources :
Ci-dessous en vidéo : la chronique de Delphine Sabattier sur le piratage du fabricant de jouets Vtech
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
