L’association de consommateurs UFC Que Choisir porte plainte contre la société de jouets connectés Vtech à la suite du piratage des données de 2 millions de Français dont 1 million d’enfants. La sécurité informatique était beaucoup trop faible chez Vtech, selon l’UFC Que Choisir.
Suite à l’officialisation du piratage, le 14 novembre, de la base de données de 2 millions de clients et d’utilisateurs français des jeux de la société Vtech, dont 1 million d’enfants, et l’information selon laquelle celui-ci aurait été rendu possible en raison de la faiblesse de la sécurité mise en place par Vtech, l’association UFC-Que Choisir, annonce le 21 décembre qu’elle dépose plainte contre cette société.
Depuis 1976
L’UFC Que Chosir rappelle que la société Vtech Electronics vend des jeux connectés, des poupons intelligents, des tablettes, des montres connectées et des ordinateurs depuis 1976. Ces produits se connectent sur internet, s’enrichissent de jeux par téléchargement sur la plateforme « Explora Park » au fur et à mesure du développement de l’enfant.
Toujours selon l’association, à chaque connexion à l’Explora Park, Vtech reçoit des données personnelles concernant les parents titulaires du compte et l’enfant qui utilise le jeu. Côté parents, les données collectées par Vtech peuvent comprendre des coordonnées email et l’adresse postale, des mots de passe cryptés, mais aussi des coordonnées bancaires, ou des historiques de consommation. Côté enfants, les informations concernent le prénom, le sexe et la date de naissance, ainsi que des photographies, et des extraits audio ou vidéo.
Une attaque par injection SQL
L’UFC Que Choisir critique sévèrement Vtech de ne pas avoir protégé suffisamment les accès à ces données. D’autant que le hacker affirme avoir utilisé une méthode assez simple pour s’introduire dans les serveurs de Vtech : l’injection SQL.
Pour rappel, cette méthode consiste à saisir une requête SQL dans le champ d’un formulaire d’un site Web. Parfois, cela permet de récupérer des données. La méthode est d’une grande simplicité et connue depuis 13 ans, souligne pour sa part l’UFC Que Choisir qui déclare qu’elle peut aisément être mise en échec, si des règles simples de protection sont mises en œuvre.
L’UFC Que Choisir pointe que cela a permis a un seul hacker d’extraire les données de près de 6 millions d’enfants dans le monde, dont 1 million d’enfants français. En outre, Vtech n’aurait pas décelé l’intrusion subie avant d’avoir été interrogé par la presse.
Dès lors, l’UFC-Que Choisir souhaite se placer aux côtés des consommateurs dans la protection de leur vie privée et de leurs données personnelles car elle estime que la faute qui semble avoir été commise par la société Vtech est intolérable.
Tribunal de Versailles
Déterminée à ce que l’ensemble des responsabilités soit établi, l’UFC-Que Choisir dépose plainte contre Vtech auprès du tribunal de grande instance de Versailles sur le fondement de de l’article 226-17 du Code pénal.