En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
  • 20/03/2018
    IT & IT Security Meetings 2018

    IT Meetings devient IT & IT Security Meetings et ouvrira ses portes en mars, du…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de prêt-à-porter féminin
    < 1 500 €
    > En savoir plus
  • Développement d'une plateforme de mise en relation pour un assembleur de compétences au service des commerçants
    A déterminer €
    > En savoir plus
  • Référencement naturel (SEO) d'un site internet WIX
    < 6 000 €
    > En savoir plus
C-S_4e trimestre_banniere

Le piratage de VTech relance les discussions autour de la sécurité des objets connectés

Ixia_RGPD_pave

Les jouets ne sont plus ce qu’ils étaient. Devenant des objets connectés, de la Barbie à la tablette éducative, ils posent de nouveaux problèmes de sécurité. Le piratage de VTech confirme les risques.

Le fabricant de jouets VTech vient d’admettre avoir été la victime d’un piratage d’envergure : sa boutique d’applications Learning Lodge, permettant de télécharger des applications éducatives, des e-books, des jeux pour les produits VTech, a subi le 14 novembre une attaque qui aurait exposé quelques 4,8 millions de comptes clients, dont les données de près de 200 000 enfants : noms, mots de passe, emails, adresses IP, réponses aux questions secrètes, mais aucune donnée de cartes bancaires, les paiements s’effectuant sur un système tiers… La base de données inclut les données de clients du monde entier : France (ici, le service s’appelle Explora Park), Etats-Unis, Canada, Royaume-Uni, Ireland, Allemagne, Espagne, Belgique, Pays-Bas, Luxembourg, Danemark, Amérique Latine, Hong Kong, Chine, Australie et Nouvelle Zélande. D’après le site Motherboard, l’attaque serait de type SQL, conçue pour interroger directement des données qui ne sont pas censées être divulguées. Si l’on en croit Imperva, spécialiste de la protection des données des entreprises, ces types d’attaque par injection SQL ont été d’ailleurs en très nette augmentation cette année (3 fois plus d’une année sur l’autre) se réfèrant à la 6e édition de son rapport sur les attaques applicatives web qui vient tout juste d’être publié (www.imperva.com/DefenseCenter/WAAR)

La sécurité des objets connectée : pas une priorité pour les fabricants

Pour Peter Gyöngyösi, responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle, ce piratage « illustre surtout la problématique majeure de la sécurité des objets connectés. Les coûts de fabrication priment toujours sur la sécurité : Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l’innovation et la saisonnalité sont primordiaux », affirme-t-il. « Pour la très grande majorité des objets connectés, la sécurité n’est tout simplement pas une priorité. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possibles, l’expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau. »
Pour lui, il faut en finir avec les comptes utilisateurs pour chaque objet connecté – du grille-pain au jouet, il n’est de toute façon « pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets » – et cela passe en particulier par la mise en place de services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation de mots de passe.
F-Secure, spécialiste en sécurité, s’inquiète tout autant du nombre croissant d’objets connectés, et du manque de sécurité qui va avec. Avec l’arrivée de ces appareils sur les réseaux, conçus par des entreprises non spécialisées dans la fabrication de produits informatiques, les vulnérabilités liées à la sécurité et à la confidentialité des données risquent de croître selon Mika Stahlberg, directeur Strategic Threat Research chez F-Secure : « Les fabricants mettent l’accent sur la facilité d’utilisation et accélèrent la production autant que possible : le consommateur est donc confronté à une large gamme de produits offrant des fonctionnalités limitées… mais présentant un grand nombre de vulnérabilités. Les problèmes de sécurité liés à ces appareils sont relativement similaires à ceux des produits IT traditionnels, mais le développement des réseaux en vue de leur adoption multiplie les risques à grande échelle. », affirme-t-il.

Auteur : Juliette Paoli

Le piratage de VTech relance les discussions autour de la sécurité des objets connectés
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Cybersécurité : le projet de loi de transposition de la directive NIS adopté en 1ère lecture

    Présenté au Sénat par le secrétaire d’Etat au Numérique, Mounir Mahjoubi, le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Failles Meltdown et Spectre : "Des erreurs graves dans les composants électroniques", selon Hervé Schauer, expert en cybersécurité

    Lorsque nous avons publié notre enquête à la mi-décembre sur les failles découvertes dans les…

    > En savoir plus...
Etudes/Enquêtes
  • 1 milliard d’attaques malveillantes en ligne en 2017, selon Kaspersky

    En 2017, Kaspersky a détecté plus d’1 milliard d’attaques malveillantes en ligne. Le chiffre est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Arcaneo_Congres DSI 2018_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
  • L’e-paiement, à l'heure de la convergence

    > Voir le livre
Bomgar_Cybersecurity_skycraper