La brèche de Noël : 5 millions de données clients Vtech aspirées
Vtech a annoncé la semaine dernière le piratage de sa boutique d'applications Learning Lodge. Près de 5 millions de données clients ont été aspirées, dont celles de 200 000 enfants !
À l’approche des fêtes de Noël, cette brèche informatique exploitée par
un hacker ne pouvait pas plus mal tomber pour Vtech, spécialisé dans la vente
de jouets et de jeux vidéo ludo-éducatifs.
5 millions de données aspirées
La société hongkongaise a annoncé dans un communiqué que la base de données de
son store applicatif baptisé Learning Lodge - connu en France sous le nom
d'Explora Park - avait été piratée le 14 novembre. "Notre base de données
clients contient des informations de profils incluant des noms, mails,
adresses, mots de passes chiffrés, réponses aux questions secrètes, adresses
IP, adresses mails et historique de téléchargement", explique Vtech.
Selon le site Motherboard qui a pu entrer en contact avec le hacker, près de 5
millions de données clients ont été aspirées, dont celles de 200 000 enfants :
photos, messages, enregistrements, etc. Le hacker assure cependant n'avoir
aucune intention de vendre ces fichiers. Seuls quelques échantillons ont été
partagés avec Motherboard dans le but d'authentifier son identité et
d'illustrer l'ampleur de la brèche…
Une simple attaque par injection de code SQL a été utilisée pour pirater la
base de données. Cette technique permet d'insérer des commandes malveillantes
dans les formulaires mal sécurisés d'un site web dans le but de faire exécuter
des commandes et par exemple collecter des informations confidentielles.
Des cyberattaques en hausse
Vtech est victime, parmi beaucoup d’autres entreprises, de la hausse des
cyberattaques.La cinquième étude annuelle menée par le Ponemon Institute fait
apparaître une augmentation importante des coûts, de la fréquence et des délais
de résolution des cyberattaques pour l’année 2014.
L’impact financier moyen annuel du cybercrime s’établit en France à 15 M
d’euros en progression de 20,5% en un an. Autre facteur d’inquiétude : les
cyberattaques sont de plus en plus étalées dans le temps, le délai moyen de
résolution des incidents créés par une cyberattaque en France est de 43 jours
(ce qui coûte en moyenne 561 553 euros, soit une augmentation de la dépense de
200% par rapport à l’an dernier).
Face à cette menace, les entreprises se tournent vers l’externalisation et les
solutions d’infogérance afin de maintenir en conditions opérationnelles leurs
plateformes (messagerie, sites internet, applications) mais également planifier
la reprise d’activité en cas de paralysie complète du service comme lors d’une
attaque de type « dénis de service » (DDOS, Distributed Deny Of Services).
VTech a finalement fermé tous ses portails concernés par l’attaque et a averti
tous les utilisateurs. La société hongkongaise mettra peut-être en place des
mesures de chiffrement pour protéger certains échanges et certaines données
pour Noël prochain.