Skip to content
Cyber Breaches
Recherche
Exploitation de vulnérabilitéRésolu

Fuite de données VTech (enfants)

Une attaque par injection SQL contre le service Learning Lodge du fabricant de jouets hongkongais VTech a exposé les données personnelles de 6,4 millions d'enfants et près de 5 millions de comptes parents, devenant la première fuite majeure ciblant des données de mineurs.

Victime
VTech Holdings
Perte
$650.0K
données
11.2M
utilisateurs
6.4M
SecteurTechnologieCommerce
PaysR.A.S. chinoise de Hong KongÉtats-UnisRoyaume-UniFrance
Attaquants nommésUnnamed researcher-hacker (arrested in the UK, December 2015)

Le 27 novembre 2015, le fabricant de jouets éducatifs hongkongais VTech Holdings a confirmé qu'un attaquant s'était introduit dans la base de données de sa boutique d'applications Learning Lodge et de son service de messagerie Kid Connect, exposant les données personnelles de 6,4 millions d'enfants et près de 5 millions de comptes parents. Il s'agissait alors de la plus grande fuite connue ciblant spécifiquement des données de mineurs.

Ce qui s'est passé

VTech vend des tablettes et des jouets connectés à Internet destinés aux jeunes enfants. Son portail Learning Lodge permettait aux parents de télécharger des applications, des livres électroniques et des jeux, tandis que Kid Connect permettait aux enfants de discuter avec des contacts approuvés par leurs parents. La base de données en arrière-plan de ces comptes était protégée par une sécurité applicative web médiocre.

Un attaquant — qui s'est ensuite confié à Motherboard et a fourni les données à un journaliste plutôt que de les vendre — a utilisé une attaque par injection SQL pour atteindre la base de données Learning Lodge. L'injection SQL est une faille vieille de plusieurs décennies et bien comprise ; VTech n'avait pas assaini les entrées utilisateur, permettant à l'intrus d'interroger directement la base de données. L'entreprise transmettait par ailleurs les données sur des connexions non chiffrées et stockait les mots de passe sous forme de hachages MD5 non salés, les questions et réponses de sécurité étant conservées en clair.

Impact

  • 6 368 509 profils d'enfants ont été exposés, contenant noms, sexes et dates de naissance. Certains comptes incluaient des photos de profil, des journaux de conversation et des enregistrements audio de Kid Connect.
  • Environ 4,85 millions de comptes parents ont été compromis, exposant noms, adresses e-mail, adresses postales, hachages de mots de passe et questions de sécurité.
  • Les pays les plus touchés étaient les États-Unis (≈2,9 millions d'enfants), la France (≈1,17 million) et le Royaume-Uni (≈727 000).
  • En décembre 2015, la police britannique a arrêté un homme de 21 ans à Bracknell, en Angleterre, en lien avec l'intrusion.
  • En janvier 2018, VTech a conclu un règlement avec la Federal Trade Commission américaine pour 650 000 dollars, première action de la FTC concernant un jouet connecté à Internet. L'agence a estimé que VTech avait enfreint la loi sur la protection de la vie privée des enfants en ligne (COPPA) en collectant des données d'enfants sans information ni consentement parental adéquats, et le FTC Act en omettant de les sécuriser.

Pourquoi c'est important

La fuite VTech a redéfini les données des enfants comme une préoccupation de sécurité de premier ordre. Contrairement aux fuites de cartes bancaires ou d'identifiants, une grande partie de ce qui a été exposé — dates de naissance, photos, enregistrements vocaux, liens parent-enfant — est immuable et particulièrement sensible pour des mineurs, créant des risques durables d'usurpation d'identité et de ciblage.

L'affaire a également révélé la légèreté avec laquelle certains fournisseurs d'objets connectés grand public traitaient la sécurité : une faille d'injection SQL d'école, un transport non chiffré et un hachage de mots de passe faible dans un produit destiné précisément aux enfants. Le règlement COPPA de la FTC a signalé que les régulateurs tiendraient les fabricants de jouets connectés aux mêmes normes de protection des données que tout autre dépositaire d'informations personnelles sensibles, et l'affaire demeure une référence fondatrice pour les débats sur la vie privée des enfants et la sécurité de l'IoT.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
650.0K
USD · 650 000 $US
  • Amendes & règlements$650.0K

Chronologie

  1. Un attaquant exploite une faille d'injection SQL dans la base de données de la boutique d'applications Learning Lodge de VTech et exfiltre des enregistrements de clients et de profils d'enfants.

  2. VTech découvre l'accès non autorisé à sa base de données Learning Lodge.

  3. VTech confirme publiquement la fuite après avoir été contacté par un journaliste ayant reçu les données dérobées de la part du pirate.

  4. VTech révèle que la fuite a touché 6,4 millions de profils d'enfants et environ 4,9 millions de comptes parents dans le monde.

  5. La police britannique arrête un homme de 21 ans à Bracknell, en Angleterre, en lien avec la fuite.

  6. VTech conclut un règlement avec la FTC américaine pour 650 000 dollars au titre de violations de la loi COPPA et du FTC Act — première action de l'agence visant un jouet connecté.

Sources

  1. ftc.govhttps://www.ftc.gov/news-events/news/press-releases/2018/01/electronic-toy-maker-vtech-settles-ftc-allegations-it-violated-childrens-privacy-law-ftc-act
  2. washingtonpost.comhttps://www.washingtonpost.com/news/the-switch/wp/2015/12/01/vtech-says-6-4-million-children-were-caught-up-in-its-data-breach/
  3. cnbc.comhttps://www.cnbc.com/2015/12/02/vtech-hack-data-of-64m-kids-exposed.html
  4. nbcnews.comhttps://www.nbcnews.com/tech/security/vtech-hack-exposes-6-4-million-childrens-profiles-n472011

Incidents liés

Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
Exploitation de vulnérabilitéEn cours

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim
Ivanti Sentry
Exploitation de vulnérabilitéContenu

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim
ServiceNow