Tablettes numériques piratées : mais pourquoi les hackers s’en prendraient-ils à nos enfants ?

Alantico : L'entreprise hongkongaise, fabriquant des tablettes numériques didactiques pour enfants, a déclaré être victime d'un hacking mettant en danger les données personnelles de 5 millions de personnes... Quel est l'intérêt derrière la collecte de données d'enfants, souvent en bas âge ? Faut-il s'en inquiéter ?

Frédéric Mouffle : L'intérêt de cette nouvelle attaque, compte tenu des informations qui ont été diffusées sur le sujet, est – me semble-t-il – de démontrer une fois de plus, la vulnérabilité des bases de données clients. Le hacker qui a réalisé cette opération explique clairement qu'il ne souhaitait pas divulguer les informations qu’il a pu saisir à l’occasion de cette opération.Nombreuses sont les entreprises qui présentent des failles sévères dans leur système et leurs bases de données clients. Pour autant, ces mêmes entreprises ne prennent pas la mesure du problème compte tenu du fait que depuis plusieurs années, nombre d'attaques sont réalisées le plus souvent par le biais des vulnérabilités bien connues, et de longue date.

Il faut s’inquiéter à propos de ces sociétés qui proposent toujours plus de « connectivité » avec les appareils déjà connectés… Car comment un particulier qui achète ce type de matériel, peut-il en même temps s'assurer que la sécurité est optimale ? C'est parfaitement impossible. Il est donc nécessaire d'adopter une approche beaucoup plus pragmatique à propos des objets connectés – ou autres moyens de communication – laissés à disposition de nos enfants. Dans le cas présent, le hacker s'est manifesté. Mais il aurait tout aussi bien pu agir pour le compte d’un groupe d’individus pédophiles – ou criminels – disposant des noms, des prénoms,  des photos et des adresses de ces enfants… Ce qui aurait eu des conséquences catastrophiques…

Atlantico : Quelles sont dès lors les précautions à prendre, lorsque l'on décide d'acheter un objet connecté pour son enfant ? A partir de quand l'enfant est-il suffisamment autonome ?

La règle en la matière reste la sensibilisation des parents « utilisateurs de produits connectés », car l’on ne peut pas sensibiliser ses enfants si l’on n’a pas soi-même une idée très précise de la nature des multiples menaces liées à l’utilisation de ces produits. Il est absolument nécessaire de « préparer » ou de paramétrer les appareils utilisés par les plus jeunes utilisateurs. La préparation consiste à mettre à jour régulièrement ses ordinateurs, tablettes et autres produits, etc… D’y installer si possible un code parental mais aussi de prendre le soin ; pour certains produits ; de créer ses comptes en ligne via une boite mail complètement démarquée et générée spécialement pour l’occasion. Ensuite pour le cas V-Tech, il est difficile de contrôler la sécurité des bases de données des fournisseurs. La plupart des utilisateurs ignorent ce qu’est une base de données, voire même que leurs données y sont stockées…

En règle générale, lors de leur entrée au collège, les préadolescents dispose d'un Smartphone qu’ils utilisent à l'extérieur du domicile familial. L'enfant est autonome quant à l'utilisation des moyens de communication modernes : tablettes, téléphones, applications, ordinateurs. Il n'y a donc pas d’âge pour subir un vol de données. Les personnes adultes étant la cible prioritaire des hackers, quelques précautions d'usage sont à prendre lorsqu'il y a création de comptes et d’échanges de données, entre les appareils connectés via un point d’accès.

Atlantico : Comment les entreprises peuvent elles se protéger contre le hacking ? Quelles peuvent être les conséquences commerciales d'un hacking d'une telle ampleur ?

Plusieurs entreprises ont mis la clé sous la porte après avoir subi une attaque, d’autres ont vu leur réputation dégradée et ont eu à faire face à une perte de confiance de leur clients habituels. Les entreprises et leurs dirigeants doivent prendre conscience qu’au même titre qu'une sécurité incendie, la cyber-sécurité est un élément vital pour assurer la pérennité de l'entreprise… Les moyens de protections existent en 2015, il suffit juste d’avoir la volonté de s’en donner les moyens. D’après les informations diffusées, 190 go de données ont pu être téléchargés en utilisant une technique d’injection SQL. Sans monter une « usine à gaz », utiliser un scripte qui ferait remonter une alerte en cas de haut débit, ou de sortie des données « anormales » aurait pu alerter les responsables du site et limiter ainsi considérablement le vol de cette base. 190 go ne se télécharge pas en 2 heures, vous avez donc le temps de « fermer le robinet » d’approvisionnement numérique. Certaines entreprises n’ont visiblement pas la « culture » de la sécurité, et ceci pour plusieurs raisons : La première étant que la sécurité à un cout, qui ne s'inscrit pas dans une politique de sécurité pour certaines compagnies. La deuxième, étant la méconnaissance de cette nouvelle « discipline » ou « matière sensible », qu’est la cyber-sécurité. Laissant le plus souvent, à la charge des concepteurs et les gestionnaires des bases de données, le soin de résoudre les problèmes liés à la sécurité. Ce qui s’apparente à une erreur stratégique majeure ! D’autres considèrent que ce n’est tout simplement pas leur problème, vu qu’elle sous traite la gestion de ces données à  d’autres et qu’en cas de hacking, leur département juridique se chargera de « gérer le problème » en se retournant vers ses sous-traitants le cas échéant. Néanmoins, les choses évoluent favorablement : les entreprises dont le business modèle est basé sur des applications web ou sites internet sont désormais pour la plupart d’entre elles, à la pointe en matière de sécurité. L’augmentation exponentielle des menaces nécessite d’intégrer de nouvelles spécialités dans les départements IT. Un impératif que bon nombre d'entreprises n’ont pas encore intégré.

Ce vol emblématique de base de données pourrait avoir des conséquences désastreuses, voir même mettre très directement en danger « physique » les plus jeunes utilisateurs de ces produits. Ce qui vient immédiatement à l’esprit de chacun est évidemment la pédopornographie ! Un individu mal intentionné ou un prédateur avisé ayant accès à cette base de données disposerait de l’identité, de l’adresse, de l’âge voir même des images de leurs potentielles victimes. Une sorte de catalogue de petites victimes « clé en main ». L’image est affreuse et insupportable. Ce genre de fichiers se monnaye à prix d’or sur le darknet… Il faut le savoir. Disposant également du profil des parents, un peu « d’ingénierie sociale » (les pédophiles savent agir en toute discrétion), ils pourraient aisément choisir leur cible en fonction du secteur géographique - voir plus cyniquement encore - choisir les familles les plus fragiles…

Atlantico : Qui sont les cibles privilégiées des hackers ? Quelles sont les entreprises les plus susceptibles de se faire pirater leurs données ?

Les cibles sont multiples. Aujourd'hui, chaque entreprise est susceptible de susciter l'intérêt malveillant des groupes cybercriminels. Dans la grande majorité des cas, la motivation financière est la première cause efficiente de mise en œuvre d’un plan d’attaque plus ou moins complexes. L'intérêt d'attaquer une entreprise disposant d'une base de données clients et d'en récupérer les informations en vue de les revendre, pour des opérations de « phishing » ou « d'usurpation d'identité » est évident. Pour d'autres, n'importe quelle entreprise ayant un chiffre d'affaires suffisant (information disponible et en source ouverte en France), peut être la cible d'un « ransonware » par exemple ! Sachant que dans une grande majorité des cas, il est préférable de payer si l’entreprise n’est pas capable de restaurer ses propres données précédemment cryptées.

Pour conclure : toutes les entreprises sont concernées du petit commerçant à la TPE/PME, les grands groupes industriels, les banques sont dans le scope radar des attaques  cybercriminels.  Ces dernières années, des centaines de millions de dollars ont été dérobés auprès de grandes banques. Et ce ne sont la que les chiffres « publiés » ! Pour certaines d’entre elles, aucune communication officielles n’est diffusée…