Le fabricant de jouets VTech piraté : des millions de comptes exposés

VTech Holdings, le fabricant de jouets pour enfants a communiqué sur l’intrusion dans la base de données de sa boutique d’applications Learning Lodge. Une cyberattaque qui intervient donc en pleine période des fêtes de Noël.

Learning Lodge est une boutique en ligne permettant de télécharger des applications éducatives pour les terminaux produits par VTech. L’entreprise a confirmé l’intrusion informatique en fin de semaine dernière.

VTech alerté par un journaliste

L’information a d’abord été signalée par le site Motherboard, qui a alors cité le chiffre de 4,8 millions de comptes dont les données auraient ainsi été exposées. Si ce bilan se confirme, l’attaque contre VTech sera une des plus importantes de 2015 – derrière Ashley Madison cependant et ses 30 millions de comptes piratés.

VTech n’a cependant pas communiqué officiellement sur le nombre de comptes de son service effectivement affectés par l’attaque. Le fabricant de jouets précise en revanche que l’intrusion remonte au 14 novembre, mais n’a été détectée que le 23 novembre.

VTech a semble-t-il été alerté par un journaliste canadien qui a contacté l’entreprise à ce sujet. Celle-ci a reconnu officiellement l’attaque un jour plus tard. La base de données exposée contient notamment les noms, emails, mots de passe, adresses IP et adresses physiques de ses clients.

Ces données, et en particulier les mots de passe, n’étaient-elles pas protégées ? Oui et non. Oui, car un algorithme de hachage était appliqué. Et non, car il s’agit de MD5, un algorithme obsolète dont l’utilisation est déconseillée depuis plusieurs années déjà.

Un pirate peut donc facilement venir à bout de cette « protection » afin de reconstituer les mots de passe. Et si cela constitue un problème, c’est parce que les internautes tendent à utiliser un même mot de passe pour plusieurs services en ligne. Un attaquant pourrait donc exploiter ces données pour s’introduire sur d’autres comptes des clients VTech concernés par le piratage.