La boutique d'applications Learning Lodge de VTech est actuellement fermée. Pour le spécialiste des jouets électroniques, c'est la conséquence d'une intrusion informatique qui a eu lieu le 14 novembre dernier et découverte le 24 novembre.

VTech-logo Learning Lodge permet aux clients de VTech de télécharger des applications, des jeux éducatifs, livres numériques et autres contenus en rapport avec ses produits. A priori via une attaque par injection SQL, la base de données de Learning Lodge a été piratée.

VTech avait confirmé une brèche de données la semaine dernière et précise aujourd'hui que près de 5 millions de comptes sont affectés. La base de données contient des noms, adresses postales, adresses email, mots de passe, réponses aux questions secrètes (pour la récupération d'un mot de passe), adresses IP et l'historique des téléchargements.

Le groupe basé à Hong Kong ajoute que la base de données stocke également des informations sur des enfants dont le prénom, le sexe et la date d'anniversaire. Dans sa communication, VTech souligne que les données bancaires ne sont pas concernées.

Les détenteurs des comptes compromis à travers le monde sont alertés par VTech dont les oreilles pourraient chauffer. D'après plusieurs experts en sécurité, les mots de passe n'étaient protégés que par un simple hachage MD5 (qui n'est plus considéré comme sûr). En plus de Learning Lodge, plusieurs sites ont aussi été suspendus tels que www.planetvtech.fr et fr.vsmilelink.com.

Il va sans dire que cette affaire tombe mal pour VTech en cette période d'achats de Noël. Elle pourrait par ailleurs rendre les parents plus méfiants pour l'achat de cadeaux connectés.