On ne peut pas dire que Vtech ait été gâté pour Noël. Alors que les fêtes de fin d'année approchent à grands pas, la société spécialisée dans la vente de jouets et de jeux vidéo ludo-éducatifs a subi la plus grande cyberattaque de son histoire. Et le moins que l'on puisse dire, c'est que l’addition pourrait être salée avec près de 5 millions de données clients potentiellement tombées entre les mains de pirates, dont celles de 200 000 enfants, tous inscrits à son service de téléchargement et de vente en ligne. Connu en France sous le nom d'Explora Park, cet espace permet de télécharger jeux, applications et autres e-books pour différentes consoles et tablettes de la marque dont notamment Storio et Mobigo.
« Un accès non autorisé à la base de données clients de notre espace d'apprentissage a eu lieu le 14 novembre. Dès que nous en avons eu connaissance, nous avons lancé une enquête et pris des mesures pour nous défendre contre de futures attaques », a indiqué Vtech dans un communiqué. « Notre base de données clients contient des informations de profils incluant des noms, mails, adresses, mots de passes chiffrés, réponses aux questions secrètes, adresses IP, adresses mails et historique de téléchargement. » En revanche, la société a précisé que la base de données piratée ne contenait aucune donnée et information bancaire.
Une attaque par injection de code SQL
Les conséquences de ce piratage pourraient être lourdes. Si Vtech n'a pas officiellement indiqué le nombre de clients impacté par ce vol de données, il pourrait s'élever à plus de 4,8 millions, selon nos confrères de Motherboard qui avaient prévenu la société après avoir été contacté à ce sujet par des pirates la semaine dernière. D'après eux, le piratage a été perpétré par le biais d'une attaque par injection de codes SQL. Une technique classique permettant d'insérer des commandes malveillantes dans les formulaires d'un site web dans le but de collecter de façon détournée des informations sensibles et/ou confidentielles pour ensuite obtenir un accès root aux bases de données serveurs et permettre un accès complet à ces dernières.
Vtech s'est bien gardé de dire aux clients que, du fait du piratage, la console storio TV ne peut pas être mise à jour donc que les jeux achetés ne peuvent pas fonctionner. Le constructeur le savait depuis début décembre mais aucune annonce n'a été faite à ce sujet. Résultats mes enfants ne peuvent pas jouer avec les jeux achetés le jour de Noel, c'est UNE HONTE, UNE ESCROQUERIE MANIFESTE. J'aurai du acheter la wii pour mes enfants. Une console à oublier bien vite. De plus, j'ai essayé de poster le même message sur plusieurs sites dont Auchan où j'ai acheté la console mais tous m'ont envoyé un email pour me dire que mon post n'était pas adapté, blablabla... en clair ils avaient peur que mon post annule les ventes de Vtech Storio TV, console, jeux.... sur leur site.
Signaler un abusj ai achete une storio 5 pour mon petit fils a noel et j aimerai savoir quant je pourrai la telecharger pour noel espérons sinon quelle deception
Signaler un abusLe piratage de vtech nous montre les failles de securite qui existent dans les objets connectés.Ces failles de securite laissent l'utilisateur sans protection.
Signaler un abusce serait bien également d'indiquer les mesures à prendre pour éviter l'injection de code SQL.Cf par ex. : openclassrooms.com courses eviter-les-injections-sql.
Signaler un abusDonc Vtech a été extrèment laxiste en ignorant des solutions existantes pour se protéger, à mon sens.
J'aimerais savoir quand le site fonctionnera à nouveau afin d'enregistrer la tablette STORIO MAX 5 achetée pour le Noël de ma petite-fille.
Signaler un abusJ'ai envoyé une demande au Service Assistance de VTECH mais je n'ai toujours pas de réponse de leur part.
Merci d'avance de votre réponse