Piratage VTech : qu’attendent les entreprises pour prendre au sérieux la sécurité des données personnelles?

Nicolas-Stricher-article

Nicolas Stricher, Consultant Technique chez LogRhythm

Il y a quelques jours, les médias ont commencé à relater l’information selon laquelle le fabricant de jouets VTech, dont les jeux électroniques sont disponibles dans la plupart des rayons de Noël en France, aurait subi une violation de données aboutissant à l’exfiltration de données personnelles issues de 4,8 millions de comptes d’utilisateurs. Il semble en outre que le pirate ait également pu accéder à des milliers de photos et de discussions archivées entre les différents utilisateurs, appartenant à des parents mais aussi à leurs enfants. La violation, qui a eu lieu le 14 novembre dernier, n’a été identifiée que 10 jours plus tard.

Nicolas Stricher, Consultant Technique chez LogRhythm, a fait les commentaires suivants :

« Cette violation est différente de toutes celles que nous avons vu récemment et elle soulève un certain nombre de questions en raison de la nature des victimes. Comme si compromettre la sécurité des données personnelles de parents et de jeunes enfants n’était pas suffisant, il a été révélé que VTech a potentiellement laissé des milliers de photos, ainsi que des archives d’historiques de conversations, sur des serveurs non sécurisés. Dans un monde d’adultes, l’équivalent serait qu’un pirate accède et vole vos photos et conversations issues de votre compte Facebook.

Les failles récentes survenues chez Sony et l’opérateur britannique TalkTalk ont ​​clairement illustré à quel point il était facile pour les pirates d’exploiter chaque point faible d’une entreprise. Il est donc vital que celles-ci prouvent qu’elles mettent tout en œuvre pour protéger les données qui leur sont confiées, en particulier lorsque ces données concernent de jeunes enfants.

Au-delà des mesures de base telles que le chiffrement des données, les entreprises doivent disposer d’outils de sécurité intelligents qui permettent d’identifier l’activité inhabituelle sur un serveur au moment même où cela arrive. Dans le cas de VTech, il a fallu 10 jours pour détecter l’intrusion, et cela est encore trop long. Les objets et gadgets connectés à internet sont de plus en plus populaires parmi les enfants, mais si les parents ne pas sont assurés de la sureté de ces jouets, il est peu probable qu’ils restent en  haut des listes de Noël cette année. »