Des millions de comptes clients de jouets VTech et les profils de milliers d'enfants piratés

Le fabricant asiatique de jouets électroniques a révélé, lundi, qu'il a été victime d'un piratage informatique mondial. 

Des montres connectées, Kidizoom, de Vtech, disposées dans un magasin de Hong Kong (Chine), le 30 novembre 2015.
Des montres connectées, Kidizoom, de Vtech, disposées dans un magasin de Hong Kong (Chine), le 30 novembre 2015. (TYRONE SIU / REUTERS)

Les profils de vos enfants sont-ils dans la nature ? Le groupe de jouets électroniques éducatifs VTech Holdings a annoncé, lundi 30 novembre, que des millions de comptes de clients et des profils d'enfants du monde entier ont été affectés par une attaque de pirates informatiques. La société commercialise des tablettes, des montres connectées ou des mini-appareils photo pour les enfants.

"Un pirate peut cibler directement un enfant"

"Environ cinq millions de comptes de clients et de profils d'enfants liés à ces comptes sont concernés dans le monde", explique dans un communiqué le groupe basé à Hong Kong, qui se décrit comme le leader mondial des jeux éducatifs électroniques pour les tout-petits. "VTech Holdings Limited a détecté qu'un tiers non autorisé a accédé, le 14 novembre, aux informations de clients de VTech conservées sur la base de données de sa boutique en ligne Learning Lodge", qui permet d'acheter et de télécharger des jeux et des applications. 

Sur cette base de données figurent des "informations sur les enfants, comme leur nom, genre et date d'anniversaire" ainsi que celles, plus détaillées, concernant les clients adultes ayant ouvert les comptes : "Nom, adresse e-mail, mot de passe, question secrète et réponse pour récupérer le mot de passe, adresse IP, adresse postale et historique des téléchargements", précise VTech. 

"Cela veut dire que, potentiellement, un pirate peut cibler directement un enfant. Or, ce dernier n’est pas sensibilisé aux problématiques du piratage !", avertit Loïc Guezo, expert chez Trend Micro, contacté par Le Monde.

Photos, messages entre parents et enfants...

VTech affirme qu'aucune donnée bancaire n'a pu être soustraite puisqu'elles ne sont pas stockées sur cette base de données. "Nous avons immédiatement mené une enquête approfondie, inspecté exhaustivement le site touché et mis en place des mesures de protection contre d'autres attaques", assure le groupe.

Selon le site spécialisé Motherboard (en anglais), la fuite va plus loin : il cite un pirate présumé affirmant avoir obtenu des milliers de photos des enfants et parents concernés par le vol de données. Il assure également avoir pu s'emparer de messages échangés par écrit entre parents et enfants, à travers les tablettes du groupe, et même de messages audio, enregistrement à l'appui.

VTech a communiqué différentes adresses pour que les clients inquiets puissent contacter l'entreprise dans divers pays, notamment en France et au Canada.