IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur internet
Parmi lesquelles des photos et des messages

Le , par Victor Vincent

28PARTAGES

6  1 
Le célèbre fabricant de jouets VTech (basé à Hong-Kong) a subi un piratage d’envergure, exposant ainsi massivement les données personnelles et notamment les mots de passe de parents et enfants à travers le monde. Les premiers chiffres, non officialisés, parlent de près de 4,8 millions de personnes/comptes exposés. Ce piratage est une violation de sécurité massive qui implique des enfants mineurs. Mais il illustre également et surtout la problématique majeure de la sécurité des objets connectés et notamment deux points importants qui pourraient avoir des conséquences importantes dans le futur alors que l’Internet des objets se développe très rapidement.

Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd’hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.

La seconde chose est que les coûts de fabrication priment toujours sur la sécurité. Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l’innovation et la saisonnalité sont primordiales. Un expert Cybersécurité américain a réalisé une excellente analyse de ce piratage de VTech révélant ainsi de nombreux problèmes de sécurité basiques existant sur ce type de terminaux connectés. Le constat est clair, et il est vrai aussi pour la très grande majorité des objets connectés, la sécurité n’est tout simplement pas une priorité. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possible, l’expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, ce type de piratage d’envergure participe à la sensibilisation du public et des fabricants. Les fabricants doivent réaliser que ce qu’ils fabriquent ne sont pas simplement des jouets, ce sont des objets connectés à Internet avec des caméras qui sont mis entre les mains d’enfants. Cela impose de prendre de vraies mesures de sécurité. Les utilisateurs, quant à eux, doivent garder à l’esprit qu’à l’heure actuelle le niveau de sécurité de ces objets connectés est bas et doivent se questionner sur les données qui peuvent les rendre vulnérables et celles qu’ils doivent absolument préserver.

Source : BBC

Et vous ?

Que pensez-vous du piratage de VTech ?

Voir aussi

le forum Sécurité

la rubrique Systèmes (Cours, Tutoriels, FAQ, etc.)

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de David Evan
Membre régulier https://www.developpez.com
Le 01/12/2015 à 11:31
Bonjour,

Je rejoins Gugelhupf sur une réflexion : Comment de si grosses sociétés responsables de nos données peuvent-elles ainsi faire l'objet de tels scandales sans jamais en être inquiété ?

Je m'explique. Soyons d'accord : Les coupables sont avant-tout les pirates et autres voyous cherchant à dérober ces données. Mais cependant, à partir du moment où ses sociétés se permettent de collecter et conserver ses données (sans parfois d'utilité direct dans le service à assurer), ne peuvent-ils pas être aussi responsable de leurs sécurité ?

Les internautes ont accepté des Conditons prévoyant que ces données ne seraient pas divulguées, or, au final, elles sont volées, et tout au plus, seuls des excuses leurs sont présentées. La législation ne pourrait-elle pas prévoir (peut-être est-ce déjà le cas ?) un délit de "négligence" envers ces sociétés ?

Pour faire une analogie, prenons le cas où je décide de confier à ma banque, via l'un de ses coffres, mes bijoux et autres objets de valeur. Si cette banque se fait cambrioler, bien qu'elle ne soit pas la responsable, je serai, en tant que victime associée, automatiquement indemnisé du montant de mon préjudice.

Un autre exemple, si je laisse les clefs sur ma voiture en pleine ville et les portes grandes ouverte. Même si je ne peux pas être tenu responsable de ce vol juridiquement, mon assurance refusera de m'indemniser à cause de ma négligence.

Ce qui me pose problème, c'est que finalement, les internautes sont victimes de vol, sans jamais avoir la possibilité de se défendre. Ne faudrait-il pas imposer de manière systématique, à partir d'un certain quota de données collectées, des audits de sécurité obligatoire ?

Amicalement,
6  0 
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 01/12/2015 à 11:10
"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...
2  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 01/12/2015 à 15:59
Ce qui est le plus gênant sont les conséquences pédopornographiques de cette affaire. Les données ayant été piratées vont plus que probablement aller rejoindre de tels réseaux.

Citation Envoyé par Victor Vincent Voir le message
Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd’hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.
N'oublions pas qu'un enfant est avant tout une éponge, un reflet qui stocke et qui reproduit ce que les personnes de son entourage font, en particulier les adultes et surtout leurs propres parents. Il n'y a pas que les enfants à éduquer dans cette affaire. Il y a aussi les parents. Les parents laissent entre les mains de leurs enfants des appareils dont ils ne mesurent pas eux-mêmes l'étendue de leurs pouvoirs. Idem pour l'éducation informatique dont j'ai souvent l'impression qu'elle relève plus du téléphone arabe qu'autre chose. Il faut sensibiliser les parents aux problématiques de l'informatique au lieu de les caresser dans le sens du poil (pour des raisons économiques et politiques). C'est seulement ensuite que, forts de la connaissance de ces problèmes là et des moyens pour les éviter, les parents laisseraient ensuite leurs enfants manipuler des appareils informatiques, sous leur contrôle bien entendu.

Citation Envoyé par Traroth2 Voir le message
"Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...
Oui. Ces problématiques là vont par la force des choses devenir une préoccupation. L'IoT marque à mon avis un changement radical dans l'embarqué. Avant les objets embarqués fonctionnaient généralement en vase clos. Je dis volontairement "généralement" pour écarter les cas spécifiques et critiques comme par exemple le militaire, le médical ou bien l'aéronautique. Soit ils ne communiquaient pas du tout avec l'extérieur, soit ils communiquaient entre eux mais pas avec l'extérieur. Les problématiques de sécurité étaient alors forcément très faibles vu les risques encourus. OSEF par exemple de la sécurité dans les ordinateurs pour gosses à l'ancienne (comme ceux de VTech à l'époque), qui ne contenaient aucune donnée sensible et dont la communication avec l'extérieur se limitait à des cartouches d'extension éducatives. Mais la donne a changé. Maintenant ces mêmes objets embarqués sont plutôt des objets connectés, et la problématique de la sécurité vis-à-vis de l'extérieur, en particulier Internet, doit désormais être prise en compte. Ceux qui ne le feront pas en paieront le prix fort. Cet exemple d'enfants dont les photos plus ou moins intimes vont fuiter sur le Net comme pour des stars hollywoodiennes un jour de Fappening Day en est le parfait exemple. Ce genre d'évènement est hélas amené à se reproduire et se reproduira pour ceux qui se ficheront de la sécurité de leurs objets connectés. Ce sera du "sécurise ou crève".

Citation Envoyé par Conan Lord Voir le message
Le problème est qu'à partir du moment où on ne peut pas garantir le risque zéro, les données sont potentiellement en péril. La négligence des entreprises est certes inexcusable (quoique trop souvent excusée), la rigueur reste insuffisante. Un jour (espérons lointain), il y aura un scandale à plus grande échelle. Pour prendre un exemple extrême, si un coup d'État se produit au Mexique et si le pushiste est un peu collectionneur, tous les serveurs situés au Mexique pourraient se retrouver entre ses mains. C'est une arme de taille ! Ce serait chouette qu'on puisse réfléchir sur ce genre de problèmes (au lieu de chercher des solutions aux sommes monstrueuses des manques à gagner des annonceurs publiés dans la presse) avant qu'ils ne se produisent.
Sans aller jusqu'à cet exemple extrême de dictature, on a déjà les USA avec la NSA. Certains clament qu'Internet ne peut pas être contrôlé, mais n'empêche qu'il est entre les mains des USA. Au delà des problèmes de vie privée c'est quand même la leçon n°1 à retenir des scandales de la NSA. Je pense par exemple à toutes ces personnes qui doivent choisir leur TLD au pif, tout en ignorant qu'en fait ils placent leurs sites sous telle ou telle bannière nationale. On se souviendra par exemple de MegaUpload, ce site soi-disant néo-zélandais que les USA ont réussi à faire tomber juste parce qu'ils avaient la main sur le ".com" de "megaupload.com". Ce n'est pas un hasard si son successeur "Mega" a adopté le .co.nz néo-zélandais dans "mega.co.nz", ce qui lui évite des problèmes avec les USA. On peut aussi penser à The Pirate Bay qui, faute d'eaux internationales sur le Web (cela n'existe pas), cherchent désespérément des ports d'attache nationaux peu farouches pour pouvoir continuer de faire ce qu'ils font.
2  0 
Avatar de
https://www.developpez.com
Le 01/12/2015 à 16:44
Citation Envoyé par air-dex Voir le message
Il n'y a pas que les enfants à éduquer dans cette affaire. Il y a aussi les parents.
Oui, simplement personne n'en ressent le besoin. Le comportement des parents eux-mêmes est le reflet de ce qu'on leur montre. L'éducation ne suffit plus. La télé a encore un gigantesque pouvoir. Dans les séries (surtout américaines, mais toutes les nationalités sont représentées), le geek qui fait attention à ses données est présenté comme une magnifique caricature du complotiste paranoïaque. D'ailleurs, c'est lui le tueur.

Citation Envoyé par air-dex Voir le message
Ces problématiques là vont par la force des choses devenir une préoccupation.
Pourtant, depuis le temps, on aurait déjà dû constater un semblant d'inquiétude. Même la CNIL, qui fait un travail efficace (selon les infos dont je dispose) dans son domaine de compétence et d'urgence, reste bien trop en retrait sur la nécessité de réglementer la collecte des données par les sociétés privées. Tout un chacun continue d'utiliser les services connectés par commodité. Et il est tout à fait compréhensible de préférer le GPS à la carte en papier ! Les risques de sécurité, presque tout le monde les connaît. Ceux qui veulent bien en tenir compte sont plus rares.
Voici pourquoi j'ai utilisé l'exemple extrême (et pourtant réaliste) de la dictature : à mon avis, les gens ne se rendent pas compte qu'ils peuvent se faire attaquer de manière individuelle et à grande échelle, qui qu'ils soient. VTech, c'est pas de chance (ça n'enlève rien au caractère malheureux de l'affaire, j'ai des enfants également), mais ça ne touche qu'une toute petite partie de la population et, probablement (et heureusement, me dicte mon bon cœur), les concernés ne sauront jamais avec certitude où leurs données sont parties. Pour la NSA, l'écrasante majorité des européens pense que la NSA œuvre exclusivement pour le bien commun, de même que les gouvernements et la CIA (pour le KGB, on est moins sûr).
L'idée "je n'ai rien à cacher, servez-vous" est répandue depuis l'apparition des caméras de sécurité dans les lieux publics, si ce n'est avant. Or, aujourd'hui, tout le monde a quelque chose à cacher, puisque presque tout est consigné. La légalité des actions n'entre pas plus en ligne de compte que l'absolution à l'église. Personne ne publierait une vidéo de lui-même dans sa vie de tout les jours, sans rien omettre. Le jour du débordement, tout le monde sera éclaboussé.
2  0 
Avatar de luckythrice
Nouveau membre du Club https://www.developpez.com
Le 04/12/2015 à 14:10
Ils peuvent pas les chiffrer leur mots de passe...
1  0 
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 09/12/2015 à 12:12
Citation Envoyé par bmayesky Voir le message
Le principe de fonctionnement d'une société d'aujourd'hui est de maximiser le profit et de gérer les risques selon leur impact potentiel sur ce même profit.

Donc aucune chance qu'il mettent la clé sous la porte car:
- Aucune loi n'est faite pour protéger, indemniser un client du vol de ses données ni une entreprise de s'être laissé pirater. Risque sur profit = 0 !
- Des affaires de "ce genre" sont comprises et restent dans un cercle fermé de techniciens informatiques peu représentatif des clients. Le risque de perte de client est faible, le risque d'image est faible (un peu de marketing avec de petits mensonges et quelques demi-vérités suffira à noyer le poisson) donc le risque sur les profits est faible et en plus gérable.

Bilan: aucune action ne sera entreprise sinon un peu de communication pour faire diversion afin de ne pas avoir d'impact financier sur la société.

Que faire ?
Moi, je met des informations fausses lorsqu'elles sont demandées à tort: ainsi je suis protégé des vols de données personnelles puisque ce ne sont pas mes données personnelles qui sont alors volées. Après il faudrait sensibiliser le législatif pour avoir des lois protectrices du consommateur: autant rêver par les temps qui courent. Bref, complètement utopique même si j'aurai aimé que ça ne le soit pas.
Et le risque que plus personne n'achète de gadgets qui risquent de publier les photos de l'intérieur de sa maison avec ses gosses aux quatre coins du net, tu l'évalues, ou pas du tout ??? Contrairement à ce que tu dis, j'ai entendu parler de cette affaire VTech sur le site de l'Obs avant de venir sur dvp.
1  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 15/02/2016 à 11:25
Citation Envoyé par Stéphane le calme Voir le message
James Denaro, un avocat qui a fondé l'entreprise CipherLaw, soutient que plusieurs sites ont adopté de telles clauses : « ils se dédouanent un peu maladroitement, suite au piratage, mais c'est une disposition tout à fait raisonnable dans des conditions d'utilisation parce que personne ne pourrait promettre d'être parfaitement sécurisé ».
Je pense que ce monsieur et moi-même n'avons pas la même définition du mot "raisonnable"
1  0 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 15/02/2016 à 13:05
Même s'ils pouvaient se dédouaner de ce genre de responsabilités, ils ont quand même une obligation de moyen en ce qui concerne la protection des données collectées.
Vous me direz, encore faut-il prouver les manquements à cette obligation
1  0 
Avatar de Gugelhupf
Modérateur https://www.developpez.com
Le 01/12/2015 à 10:07
Il existe bien des normes de "sécurité" (et donc des contraintes) pour les matériaux employés afin de fabriquer ces jouets non ? Donc il existe forcément des commissions pour punir et/ou interdire ces jouets qui provoquent des maladies etc... Et bien il devrait tout simplement y avoir une commission qui vérifie et punie si l'objet connecté est une passoire au niveau de la sécurité, là ça fera changer l'idée des fabricants.

PS: Il n'existe pas un article de loi interdisant à une société de vendre un objet informatique dont le niveau de sécurité est risible ?
0  0 
Avatar de
https://www.developpez.com
Le 01/12/2015 à 12:25
Citation Envoyé par David Evan Voir le message
Mais cependant, à partir du moment où ses sociétés se permettent de collecter et conserver ses données (sans parfois d'utilité direct dans le service à assurer), ne peuvent-ils pas être aussi responsable de leurs sécurité ?
Le problème est qu'à partir du moment où on ne peut pas garantir le risque zéro, les données sont potentiellement en péril. La négligence des entreprises est certes inexcusable (quoique trop souvent excusée), la rigueur reste insuffisante. Un jour (espérons lointain), il y aura un scandale à plus grande échelle. Pour prendre un exemple extrême, si un coup d'État se produit au Mexique et si le pushiste est un peu collectionneur, tous les serveurs situés au Mexique pourraient se retrouver entre ses mains. C'est une arme de taille ! Ce serait chouette qu'on puisse réfléchir sur ce genre de problèmes (au lieu de chercher des solutions aux sommes monstrueuses des manques à gagner des annonceurs publiés dans la presse) avant qu'ils ne se produisent.
0  0