Selon les premiers rapports, le pirate a récolté un butin composé de noms, d’adresses mails, de mots de passe chiffrés, questions secrètes et réponses associées, adresses IP et postales de plus de 5 millions de personnes. 200 000 d’entre eux étaient des enfants. Rapidement il a été découvert qu’il n’y avait pas que les données administratives des comptes : il  y avait bel et bien des photos (vraisemblablement : pour la plupart des jeunes enfants), des messages instantanés et des enregistrements volés.  Comment le hacker a t-il pu commettre cet énorme vol de données  (les experts disent qu’il s’agit de la 4^ème plus importante jamais commise) ? Cela semble une tâche difficile à accomplir, d’autant plus qu’elle concerne les informations confidentielles d’enfants. La réponse : une injection SQL.

Attendez ! une injection SQL… J’ai déjà entendu ce terme assez souvent, je vous entends presque penser. Vous avez raison. Déjà en 1998, les problèmes de sécurité avec SQL avaient été rendus publics. Il y avait aussi durant de nombreuses années des astuces simples bien connues pour empêcher les injections SQL. Si ces mesures de sécurité étaient une personne, alors cette personne ne joue plus avec des jouets VTech mais vote et conduit une voiture !

VTech n’est pas le seul fabricant de jouets qui produit des jeux intelligents. Début février 2016, il est devenu clair que l’ours intelligent de Fischer Price l’était bien moins que ce que le fabricant voulait nous faire croire. L’ours peut communiquer avec l’enfant. Grâce à une connexion WiFi et une application spéciale, les parents peuvent donner des informations à l’ours afin qu’il apprenne le nom de l’enfant, qu’il puisse par exemple indiquer à l’enfant l’heure de se coucher. Des chercheurs en sécurité de l’entreprise Rapid7 ont trouvé plusieurs bugs stupides dans l’application, ce qui a permis aux pirates de trouver des noms et dates de naissances des enfants.

La différence entre le cas VTech et celui de Fischer Price est que le dernier n’est qu’un danger potentiel. Les chercheurs ont mis en garde Fischer Price et le problème de sécurité a été résolu. Il n’y a donc pas eut de dégâts. Cela ne vaut pas pour VTech où un pirate a obtenu les données. Heureusement, le hacker semble être assez raisonnable moralement et n’a pas de plans pour ces données. Mais, pour illustrer son histoire, il a publié plusieurs milliers de données. Et ainsi, il peut suivre les réclamations des victimes.   

Une fuite de données se produit à cause d’erreurs de négligence, évidemment très graves, surtout en ce qui concerne des victimes sans défense, tels que des enfants. Mais peut-être est-ce pardonnable. Les fabricants de jouets ne travaillent tout simplement pas dans la sécurité informatique, et peut-être pourrions-nous comprendre que, dans leur enthousiasme sur le potentiel de «  l’intelligent » ou de « l’Internet des objets », ils ignorent complètement les dangers possibles. Peut-être devrions-nous les juger sur leurs intentions. Comment les entreprises ont-elles agi après la publication de ces failles ? Fisher Price a agi rapidement pour sécuriser l’application. VTech a renforcé la sécurité de ses bases de données et a nommé une « cyber équipe médico-légale ». Fantastique. Mais VTech a fait quelque chose d’autre, quelque chose de moins louable. La société a mis à jour ses conditions d’utilisation, valables depuis le 24 décembre 2015.

« Vous reconnaissez et acceptez que vous assumez l’entière responsabilité de votre utilisation du site et de tout logiciel ou firmware téléchargé à partir de là. […] Vous reconnaissez et acceptez que toute information que vous envoyez ou recevez lors de l’utilisation du site peut ne pas être sécurisée et risque d’être interceptée ou plus tard acquise par des parties non autorisées. »

Un fabricant peut-il légalement esquiver ses responsabilités et les rejeter de cette manière sur le consommateur ? Il me semble en tout cas très imprudent d’accepter ce genre de termes juridiques. Les jouets, mais aussi à peu près tous les produits de consommation auront une variante « intelligente » dans quelques années. Tous ces dispositifs pour mesurer, enregistrer et traiter les données sur l’utilisateur. Il est maintenant clair que pour la plupart des fabricants d’appareils intelligents et des développeurs, les applications de sécurité associées ne sont pas une priorité. Peut-on espérer que le consommateur ait l’entière connaissance de ce qui est techniquement possible et ainsi, puisse poser la question du risque, et la traiter en fonction de la responsabilité pour tout produit à puce qu’il a l’intention d’acheter. Il me semble que cela relève de la Commission de la vie privée et du gouvernement d’émettre une déclaration très claire. Je la formulerai comme cela : Si, en tant que fabricants d’appareils « intelligents » à destination des hommes, vous devez vous assurer que vous êtes assez intelligent pour penser à la protection de la vie privée. N’êtes-vous pas trop stupide pour ça ? Ce n’est qu’alors que vous serez responsable moralement et légalement. 

Par Eddy Willems - Security Evangelist G DATA