Piratage de VTech : des questions et des failles

questions © Galam - Fotolia.com

La facture est lourde pour VTech, aussi bien sur le nombre de clients touchés que sur le symbole véhiculé par un tel piratage. Le constructeur asiatique a subi le 14 novembre dernier une intrusion sur la base de données de sa boutique de téléchargement d’applications éducatives. Au total, près de 5 millions de comptes adultes ont été compromis, mais pire encore c’est 6,4 millions de comptes concernant les enfants qui sont concernés. Un total de 190 Go de données a été ainsi dérobé comprenant des adresses, des dates de naissance, des messages, des photos, etc. La France n’est pas épargnée par ce piratage, car en proportion, l’hexagone arrive en deuxième position derrière les Etats-Unis. VTech a indiqué que 868 650 comptes clients ont été obtenus par les pirates tout comme 1,17 million de profils d’enfants.

Les américains ont été rapide à réagir où plusieurs Etats, dont le Connecticut et l’Illinois ont diligenté des enquêtes sur ce vol massif de données. De son côté le Congrès américain a officiellement demandé des précisions à VTech, constate nos confrères de Reuters. Les élus veulent connaître quelles sont les informations collectées par le constructeur et surtout la politique de sécurité mise en place pour protéger les données sensibles. « Cette intrusion soulève bien des questions au sujet des informations que VTech collecte sur les enfants, sur la manière dont elles sont protégées et dont VTech respecte le Children’s Online Privacy Protection Act », écrivent le sénateur démocrate Edward Markey et le représentant républicain Joe Barton. A Honk Kong, c’est le commissaire en charge de la confidentialité des données, qui a mandaté ses équipes pour établir un contrôle de conformité de VTech.

Des failles découvertes en sus

Si les enquêtes donneront plus de précisions sur les raisons et les responsabilités sur le piratage, VTech a donné déjà quelques éléments. On sait que le pirate (il semblerait qu’une seule personne soit à l’origine du vol selon le site Motherboard) s’est introduit dans la base de données clients via une banale injection SQL. Le constructeur Chinois a reconnu que sa base de données n’était pas « protégée comme elle aurait dû l’être ». Un mea culpa que certains experts en sécurité relativisent. « Il s’agit d’un fabricant de jouet, on comprend qu’ils n’ont pas des superstars en matière de sécurité », suggère Tod Beardsley, chercheur chez Rapid7.

Pour autant, d’autres experts estiment que VTech est peu regardant sur la sécurité de ses produits. Ainsi, deux consultants pour le site Pen Test Partners ont, selon Forbes, découvert plusieurs failles touchant la tablette Inotab du constructeur. Pour Ken Muro, une de ces vulnérabilités se loge dans le processeur embarqué, Rockchip RK3168, de la tablette. Il suffit de télécharger une solution nommée rkflashtool pour siphonner les données de la mémoire. Le consultant précise que cette faille est connue depuis 2 ans. David Lodge, l’autre spécialiste, a quant à lui débusqué que les applications téléchargées sur VTech fonctionnent en mode debug, c’est-à-dire sans besoin d’avoir les droits administrateurs pour se connecter dessus et récupérer des données.

Il est probable que le fabricant de jouet soit obligé de faire un grand ménage et un grand audit de son offre connectée. Un exemple que devrait suivre d’autres constructeurs de jouet qui ont été alertés et fortement incités à renforcer leur sécurité.