Jouets connectés au Luxembourg : 5014 profils d`enfants

Communiqué de presse joint
Securitymadein.lu - Commission nationale pour la protection des données
[02.12.2015]
Jouets connectés au Luxembourg : 5014 profils d’enfants
résidents dans la nature
La Commission nationale pour la protection des données et Securitymadein.lu,
dans le cadre de l’initiative bee-secure, s’associent pour sensibiliser le public
sur la fuite de données de la compagnie VTECH et de ses conséquences pour
le public Luxembourgeois.
VTECH a reconnu dans une FAQ qu’une de ses bases de données n’était
suffisamment sécurisée, et avait fait l’objet d’une fuite. En conséquence:
-
4,854,209 profils de parents et 6,368,509 profils d’enfants ont fuité selon la
communication officielle de VTECH,
Ceci concerne 5014 profils d’enfants et 4190 profils de parents au Grand-Duché
du Luxembourg,
Au total, c’est une base de données de 190 giga-octets qui a disparu dans la nature.
La Commission nationale pour la protection des données (CNPD) a été informée du
piratage et est en train d’évaluer la situation.
Nos recommandations :
-
-
-
Contactez l’entreprise : n’hésitez pas à demander à VTECH quelles données vous
concernent.
Changez vos mots de passe sur tous les autres sites sur lesquels vous utilisez le
même mot de passe ou un mot de passe similaire. De manière générale, tenez-vous
aux bonnes pratiques pour choisir des mots de passe forts et ne choisissez jamais le
même mot de passe pour différents services.
Changer votre question et réponse secrète sur tous les autres sites sur lesquelles
vous utilisez les mêmes combinaisons ou des combinaisons similaires.
Ne cédez pas au chantage : si on essaie de vous faire chanter et que l’on vous
demande une somme d’argent, ne cédez pas et contactez la Police. Pour connaître
les impacts d’une fuite de données plus en détail, lisez notre news : « fuite de
données, tous concernés ».
Gare au phishing : on pourrait utiliser vos données personnelles pour mener des
campagnes de phishing. Pour plus d’informations: https://www.beesecure.lu/fr/glossaire/phishing.
Enfin, BEE SECURE recommande de ne jamais laisser votre enfant connecté sans
surveillance.
Explications et contexte :
Le site américain Vice.com via sa plateforme Motherboard a révélé que l’entreprise
de jouets connectés VTECH a été piraté le 14 novembre 2015. Un attaquant a eu
accès au contenu de la base de données du système nommé Explor@Park /
Learning Lodge, une plateforme qui permet aux consommateurs de télécharger des
contenus pour certains jouets VTECH. Par ce biais, l’attaquant s’est aussi emparé
des données du service “Kid Connect”. L’attaquant a exploité une faille de sécurité
en injectant une requête SQL. Il s’agit d’une méthode d'attaque qui consiste à insérer
des commandes malignes dans le formulaire d'un site pour le piéger et l'amener à
dévoiler d'autres données contenues dans la base de données.
C’est un attaquant anonyme qui a alerté un journaliste de Motherboard en indiquant
que les données étaient disponibles et que celui-ci a pu les récupérer.
Apparemment, d'autres hackers pourraient avoir profité des failles de sécurité des
serveurs de VTECH, et auraient pu récupérer ces informations.
Qu’est-ce qui a fuité?
Sachez que VTECH France a communiqué de manière contradictoire quant à la
nature des données qui ont fuité. VTECH France avait déclaré qu’aucune adresse
personnelle n’avait été dérobée, pourtant les adresses postales ont bel et bien été
extraites des serveurs de VTECH.
Les informations des comptes « parent »
-
Nom / prénom
Mot de passe
Question secrète
Indice de mot de passe
Réponse secrète
Adresse IP
Adresse Email
Adresse postale
Historique de téléchargements
Les informations des comptes « enfant »
- Nom / prénom
- Nom d’utilisateur
- Nom du parent de l’enfant
- Sexe
- Date de naissance
Les informations de Kid Connect: les fichiers multimédias
- Fichiers audio
- Les photos
-
Historiques des messages de la messagerie instantanée
Les vidéos
En clair, pour chaque individu, il est possible de rassembler les données volées et de
relier parents et enfants.
Source: Motherboard: http://motherboard.vice.com/read/hacker-obtained-childrensheadshots-and-chatlogs-from-toymaker-vtech
Qui est VTECH?
VTECH est une société qui compte parmi les plus grands fabricants mondiaux de jouets
éducatifs électroniques. Ciblant les enfants, la société commercialise des tablettes, des
montres ou des mini-appareils photo connectés.
Ces objets connectés se reposent sur un Cloud, proposant non seulement une plate forme
de téléchargement, mais aussi des fonctionnalités avancées de partage d’informations
comme les photos et vidéos.
Le Cloud de VTECH
La solution Cloud de VTECH se nomme Explor@Park / Learning Lodge. Il propose des
applications de messagerie instantanée comme l'application Kid Connect, qui permet de
communiquer non seulement par texte, mais aussi par le biais de messages vocaux, de
vidéos ou de photos. Ces communications ainsi que l’ensemble des données échangées
transitent via le Cloud de VTECH.
Cette affaire est une bonne illustration de la nécessité de lire les conditions
générales d'utilisation des services Cloud (voir dossier "Conditions générales
d'utilisation"
sur
https://www.bee-secure.lu/fr/outils/campagnes/clever-clouduser/thèmes/eula).
[Communiqué de presse joint Securitymadein.lu - Commission nationale pour la protection des données]