La brèche de Noël : 5 millions de données clients Vtech aspirées

Vtech a annoncé la semaine dernière le piratage de sa boutique d'applications Learning Lodge. Près de 5 millions de données clients ont été aspirées, dont celles de 200 000 enfants !

À l’approche des fêtes de Noël, cette brèche informatique exploitée par un hacker ne pouvait pas plus mal tomber pour Vtech, spécialisé dans la vente de jouets et de jeux vidéo ludo-éducatifs.

5 millions de données aspirées

La société hongkongaise a annoncé dans un communiqué que la base de données de son store applicatif baptisé Learning Lodge - connu en France sous le nom d'Explora Park - avait été piratée le 14 novembre. "Notre base de données clients contient des informations de profils incluant des noms, mails, adresses, mots de passes chiffrés, réponses aux questions secrètes, adresses IP, adresses mails et historique de téléchargement", explique Vtech.

Selon le site Motherboard qui a pu entrer en contact avec le hacker, près de 5 millions de données clients ont été aspirées, dont celles de 200 000 enfants : photos, messages, enregistrements, etc. Le hacker assure cependant n'avoir aucune intention de vendre ces fichiers. Seuls quelques échantillons ont été partagés avec Motherboard dans le but d'authentifier son identité et d'illustrer l'ampleur de la brèche…

Une simple attaque par injection de code SQL a été utilisée pour pirater la base de données. Cette technique permet d'insérer des commandes malveillantes dans les formulaires mal sécurisés d'un site web dans le but de faire exécuter des commandes et par exemple collecter des informations confidentielles.

Des cyberattaques en hausse

Vtech est victime, parmi beaucoup d’autres entreprises, de la hausse des cyberattaques.La cinquième étude annuelle menée par le Ponemon Institute fait apparaître une augmentation importante des coûts, de la fréquence et des délais de résolution des cyberattaques pour l’année 2014.

L’impact financier moyen annuel du cybercrime s’établit en France à 15 M d’euros en progression de 20,5% en un an. Autre facteur d’inquiétude : les cyberattaques sont de plus en plus étalées dans le temps, le délai moyen de résolution des incidents créés par une cyberattaque en France est de 43 jours (ce qui coûte en moyenne 561 553 euros, soit une augmentation de la dépense de 200% par rapport à l’an dernier).

Face à cette menace, les entreprises se tournent vers l’externalisation et les solutions d’infogérance afin de maintenir en conditions opérationnelles leurs plateformes (messagerie, sites internet, applications) mais également planifier la reprise d’activité en cas de paralysie complète du service comme lors d’une attaque de type « dénis de service » (DDOS, Distributed Deny Of Services).

VTech a finalement fermé tous ses portails concernés par l’attaque et a averti tous les utilisateurs. La société hongkongaise mettra peut-être en place des mesures de chiffrement pour protéger certains échanges et certaines données pour Noël prochain.