La nouvelle tombe mal à l'approche des fêtes de Noël. Lundi, le fabricant de jouets interactifs pour enfants VTech Holdings a annoncé avoir été victime d'un piratage massif de ses données clients. D'après le constructeur environ environ 5 millions de comptes clients et 200 000 profils d’enfants du monde entier sont touchés. Il s'agit de la première action d'une telle envergure dans le monde des jeux pour enfants.
Les informations personnelles compromises. Dans un communiqué publié le 30 novembre, l'entreprise chinoise explique que le piratage est intervenu le 14 novembre. Il a permis d'accéder aux "informations sur les enfants, comme leur nom, genre et date d’anniversaire" ainsi que celles, plus détaillées, concernant les clients adultes ayant ouvert les comptes : "Nom, adresse email, mot de passe, question secrète et réponse pour récupérer le mot de passe, adresse IP, adresse postale et historique des téléchargements". Toujours selon l'entreprise les données bancaires n'auraient pas été compromises.
D'autres données touchées ? Selon VTech, les pirates ont eu accès "aux données de clients de VTech conservées sur la base de données de sa boutique en ligne Learning Lodge". L'entreprise a "immédiatement mené une enquête approfondie, inspecté exhaustivement le site touché et mis en place des mesures de protection contre d’autres attaques". Seul problème le site Motherboard affirme avoir eu accès aux photos des enfants dont les comptes ont été piratés ainsi qu'aux messages échangés par ces derniers avec leurs parents via la plateforme de VTech.
Les données non dévoilées. Motherboard, qui a réussi à contacter le hackeur assure ne pas souhaiter dévoiler les données dérobées et a simplement envoyé un échantillon au site afin de prouver sa crédibilité. D'après Troy Hunt, expert en sécurité contacté par Le Monde, la plupart des données étaient stockées "en clair", non chiffrées. Les mots de passe étaient en revanche protégées par un chiffrage jugé "faible". Impossible de savoir combien de comptes français ont été ciblés. La question posée par Le Monde à VTech France est restée sans réponse.