VTech : un vaste piratage qui souligne les risques associés aux objets connectés

C’est le 14 novembre que certaines activités sur ses services ont conduit VTech à suspecter une compromission. Celle-ci a été confirmée au bout de 10 jours d’enquête. Le fabricant de jouets électroniques reconnaît désormais que les comptes utilisateurs de près de 5 millions de parents et de 6,4 millions d’enfants ont été piratés. En France, cela concerne près de 900 000 parents et 1,17 millions d’enfants.

C’est la base de données du magasin applicatif Learning Lodge de VTech qui a été compromise, apparemment par injection SQL. Les données dérobées ne semblent pas recouvrir d’informations bancaires, ni même de numéros de pièces d’identité : « notre base de données clients contient des informations de profils utilisateurs, dont nom, adresse e-mail, mot de passe, question secrète et réponse pour récupérer un mot de passe oublié, adresse IP, adresse postale, et historique de téléchargement ». Pour les enfants, les informations sont complétées par le genre et la date de naissance.

Dans sa page de questions fréquentes, le fabricant assure voir là une opération « criminelle bien préparée », conduite par « un pirate compétent ». Plus tôt, VTech reconnaissait que « hélas, notre base de données n’était pas aussi sûre qu’elle aurait dû l’être ». Mais cette mention ne figure plus dans sa page de questions fréquentes liée à l’incident. Le fabricant de jouets indique par ailleurs avoir sollicité Mandiant pour enquêter, et compter sur lui pour le conseiller sur la manière d’améliorer la sécurité de ses services.

Mais cet incident est aussi l’occasion de lever le voile sur les pratiques de sécurité du fabricant. Et celles-ci ne semblent pas être à l’état de l’art… Pentest Partners s’est ainsi penché sur la tablette Innotab de VTech et assure y avoir « trouvé deux façons faciles » d’en extraire les données. Selon ces experts, les applications s’y exécutent en mode « debug », comprendre : « avec une connexion ADB, il n’est même pas nécessaire d’être root pour lire et manipuler la sandbox des applications ».

Peter Gyöngyösi, responable produits chez Balabit, voit là deux problèmes majeurs à l’heure des jouets et autres objets connectés. Tout d’abord, pour lui, la sécurité passe après les coûts de fabrication, et « il est utopique de penser » qu’il en sera un jour autrement, même s’il espère que « ce type de piratage d’envergure participe de la sensibilisation du public et des fabricants ».

Surtout, il souligne que les objets connectés requièrent tous leur compte utilisateur sur une plateforme de services, induisant mécaniquement une multiplication de ces comptes. Dès lors, selon Peter Gyöngyösi, il devient « de plus en plus important de mettre en pace des services d’ouverture de session unique (SSO), ou de gestionnaires de mots de passe ». Ces derniers ne sont toutefois pas à l’abris eux-mêmes de vulnérabilités et autres failles.

Chez LogRhythm, Nicolas Stricher, consultant technique, s’alarme de l’ampleur d’un vol de données qui affecte parents et enfants, mais aussi du risque – non confirmé par VTech à ce stade – que des photos et archives de conversations personnelles aient été dérobées au passage : « dans un monde d’adultes, l’équivalent serait qu’un pirate accède et vole vos photos et conversations issues de votre compte Facebook ».

Alors pour lui, ce piratage, qui s’ajoute à une liste ne cessant de s’allonger, doit pousser les fabricants et autres prestataires de services à « prouver qu’ils mettent tout en œuvre pour protéger les données que leur sont confiées », avec le chiffrement, notamment, mais aussi des « outils de sécurité intelligents qui permettent d’identifier l’activité inhabituelle sur un serveur au moment même où cela arrive ».