
La rédaction vous conseille
On s'en souvient, fin novembre 2015, le fabricant hongkongais de jouets et high-tech pour enfants VTech, révélait avoir été victime d'un piratage informatique : une personne non autorisée avait eu accès dix jours plus tôt à sa base de données "Learning Lodge Navogator" (son "Explora Park" en France), la plateforme permettant aux consommateurs de télécharger des contenus pour les tablettes, consoles TV et autres téléphones portables DigiGo. Un mois après cette annonce, l'association de défense des consommateurs UFC-Que Choisir a annoncé avoir porté plainte contre VTech pour défaut de sécurisation des données.
Protection des données personnelles des consommateurs
Selon VTech, ce piratage a concerné 868 650 comptes de parents clients de la marque en France et 1,73 million de profils d'enfants rattachés à ces comptes parentaux. Dans un courriel envoyé à ses clients hexagonaux, le fabricant précisait fin novembre qu'aucune information sur les moyens de paiement ni informations personnelles d'identité (numéro de carte d'identité, adresse personnelle...) n'avait été piratée.
Une version que ne partage pas l'UFC-Que Choisir qui pointe, notamment, les risques encore plus grands concernant les comptes des enfants piratés pouvant contenir par exemple prénom, sexe, date de naissance mais aussi photographies, extraits audio ou vidéo. L'association rappelle également que le hacker qui a commis cette intrusion sur l'Explora Park de VTech a affirmé avoir utilisé l'injection SQL pour pénétrer les serveurs de VTech. "Cette méthode d'intrusion, d'une grande simplicité, est identifiée depuis près de... 13 ans !", s'insurge l'association dans un communiqué. L'UFC-Que Choisir a donc décidé de porter plainte en France contre VTech auprès du tribunal de grande instance de Versailles sur le fondement de l'article 226-17 du Code pénal.
Suite à la révélation du piratage, VTech a fermé son Explora Park et mis à disposition des informations, régulièrement mises à jour, sur son site en anglais. De son côté, le hacker a fait savoir qu'il ne comptait pas faire une utilisation frauduleuse ou malveillante de ces informations piratées mais que son but était de montrer les failles de sécurité de la plateforme de VTech. Une démonstration visiblement réussie...