On ne peut pas dire que Vtech ait été gâté pour Noël. Alors que les fêtes de fin d'année approchent à grands pas, la société spécialisée dans la vente de jouets et de jeux vidéo ludo-éducatifs a subi la plus grande cyberattaque de son histoire. Et le moins que l'on puisse dire, c'est que l’addition pourrait être salée avec près de 5 millions de données clients potentiellement tombées entre les mains de pirates, dont celles de 200 000 enfants, tous inscrits à son service de téléchargement et de vente en ligne. Connu en France sous le nom d'Explora Park, cet espace permet de télécharger jeux, applications et autres e-books pour différentes consoles et tablettes de la marque dont notamment Storio et Mobigo.
« Un accès non autorisé à la base de données clients de notre espace d'apprentissage a eu lieu le 14 novembre. Dès que nous en avons eu connaissance, nous avons lancé une enquête et pris des mesures pour nous défendre contre de futures attaques », a indiqué Vtech dans un communiqué. « Notre base de données clients contient des informations de profils incluant des noms, mails, adresses, mots de passes chiffrés, réponses aux questions secrètes, adresses IP, adresses mails et historique de téléchargement. » En revanche, la société a précisé que la base de données piratée ne contenait aucune donnée et information bancaire.
Une attaque par injection de code SQL
Les conséquences de ce piratage pourraient être lourdes. Si Vtech n'a pas officiellement indiqué le nombre de clients impacté par ce vol de données, il pourrait s'élever à plus de 4,8 millions, selon nos confrères de Motherboard qui avaient prévenu la société après avoir été contacté à ce sujet par des pirates la semaine dernière. D'après eux, le piratage a été perpétré par le biais d'une attaque par injection de codes SQL. Une technique classique permettant d'insérer des commandes malveillantes dans les formulaires d'un site web dans le but de collecter de façon détournée des informations sensibles et/ou confidentielles pour ensuite obtenir un accès root aux bases de données serveurs et permettre un accès complet à ces dernières.