IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 320
    Points : 27 352
    Points
    27 352
    Billets dans le blog
    1
    Par défaut Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur la toile
    Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur la toile,
    dont des photos, et messages privés d’enfants

    Le célèbre fabricant de jouets VTech (basé à Hong-Kong) a subi un piratage d’envergure, exposant ainsi massivement les données personnelles et notamment les mots de passe de parents et enfants à travers le monde. Les premiers chiffres, non officialisés, parlent de près de 4,8 millions de personnes/comptes exposés. Ce piratage est une violation de sécurité massive qui implique des enfants mineurs. Mais il illustre également et surtout la problématique majeure de la sécurité des objets connectés et notamment deux points importants qui pourraient avoir des conséquences importantes dans le futur alors que l’Internet des objets se développe très rapidement.

    Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd’hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.

    La seconde chose est que les coûts de fabrication priment toujours sur la sécurité. Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public, qui plus est dans le secteur des jeux pour enfants, hyper concurrentiel et où l’innovation et la saisonnalité sont primordiales. Un expert Cybersécurité américain a réalisé une excellente analyse de ce piratage de VTech révélant ainsi de nombreux problèmes de sécurité basiques existant sur ce type de terminaux connectés. Le constat est clair, et il est vrai aussi pour la très grande majorité des objets connectés, la sécurité n’est tout simplement pas une priorité. Les développements doivent se faire rapidement, les coûts doivent être les plus bas possible, l’expérience utilisateur doit être rapide, facile et agréable, et personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes après avoir déballé un cadeau. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, ce type de piratage d’envergure participe à la sensibilisation du public et des fabricants. Les fabricants doivent réaliser que ce qu’ils fabriquent ne sont pas simplement des jouets, ce sont des objets connectés à Internet avec des caméras qui sont mis entre les mains d’enfants. Cela impose de prendre de vraies mesures de sécurité. Les utilisateurs, quant à eux, doivent garder à l’esprit qu’à l’heure actuelle le niveau de sécurité de ces objets connectés est bas et doivent se questionner sur les données qui peuvent les rendre vulnérables et celles qu’ils doivent absolument préserver.

    Source : BBC

    Et vous ?

    Que pensez-vous du piratage de VTech ?

    Voir aussi

    le forum Sécurité

    la rubrique Systèmes (Cours, Tutoriels, FAQ, etc.)

  2. #2
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    décembre 2011
    Messages
    1 291
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 291
    Points : 3 543
    Points
    3 543
    Billets dans le blog
    12
    Par défaut
    Il existe bien des normes de "sécurité" (et donc des contraintes) pour les matériaux employés afin de fabriquer ces jouets non ? Donc il existe forcément des commissions pour punir et/ou interdire ces jouets qui provoquent des maladies etc... Et bien il devrait tout simplement y avoir une commission qui vérifie et punie si l'objet connecté est une passoire au niveau de la sécurité, là ça fera changer l'idée des fabricants.

    PS: Il n'existe pas un article de loi interdisant à une société de vendre un objet informatique dont le niveau de sécurité est risible ?
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

  3. #3
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 214
    Points
    2 214
    Par défaut
    "Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

    Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...

  4. #4
    Membre régulier
    Homme Profil pro
    Architecte logiciel
    Inscrit en
    novembre 2015
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Australie

    Informations professionnelles :
    Activité : Architecte logiciel
    Secteur : Finance

    Informations forums :
    Inscription : novembre 2015
    Messages : 17
    Points : 75
    Points
    75
    Par défaut
    Bonjour,

    Je rejoins Gugelhupf sur une réflexion : Comment de si grosses sociétés responsables de nos données peuvent-elles ainsi faire l'objet de tels scandales sans jamais en être inquiété ?

    Je m'explique. Soyons d'accord : Les coupables sont avant-tout les pirates et autres voyous cherchant à dérober ces données. Mais cependant, à partir du moment où ses sociétés se permettent de collecter et conserver ses données (sans parfois d'utilité direct dans le service à assurer), ne peuvent-ils pas être aussi responsable de leurs sécurité ?

    Les internautes ont accepté des Conditons prévoyant que ces données ne seraient pas divulguées, or, au final, elles sont volées, et tout au plus, seuls des excuses leurs sont présentées. La législation ne pourrait-elle pas prévoir (peut-être est-ce déjà le cas ?) un délit de "négligence" envers ces sociétés ?

    Pour faire une analogie, prenons le cas où je décide de confier à ma banque, via l'un de ses coffres, mes bijoux et autres objets de valeur. Si cette banque se fait cambrioler, bien qu'elle ne soit pas la responsable, je serai, en tant que victime associée, automatiquement indemnisé du montant de mon préjudice.

    Un autre exemple, si je laisse les clefs sur ma voiture en pleine ville et les portes grandes ouverte. Même si je ne peux pas être tenu responsable de ce vol juridiquement, mon assurance refusera de m'indemniser à cause de ma négligence.

    Ce qui me pose problème, c'est que finalement, les internautes sont victimes de vol, sans jamais avoir la possibilité de se défendre. Ne faudrait-il pas imposer de manière systématique, à partir d'un certain quota de données collectées, des audits de sécurité obligatoire ?

    Amicalement,

  5. #5
    Expert confirmé
    Femme Profil pro
    Traductrice
    Inscrit en
    octobre 2015
    Messages
    680
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Traductrice
    Secteur : Communication - Médias

    Informations forums :
    Inscription : octobre 2015
    Messages : 680
    Points : 4 227
    Points
    4 227
    Par défaut
    Citation Envoyé par David Evan Voir le message
    Mais cependant, à partir du moment où ses sociétés se permettent de collecter et conserver ses données (sans parfois d'utilité direct dans le service à assurer), ne peuvent-ils pas être aussi responsable de leurs sécurité ?
    Le problème est qu'à partir du moment où on ne peut pas garantir le risque zéro, les données sont potentiellement en péril. La négligence des entreprises est certes inexcusable (quoique trop souvent excusée), la rigueur reste insuffisante. Un jour (espérons lointain), il y aura un scandale à plus grande échelle. Pour prendre un exemple extrême, si un coup d'État se produit au Mexique et si le pushiste est un peu collectionneur, tous les serveurs situés au Mexique pourraient se retrouver entre ses mains. C'est une arme de taille ! Ce serait chouette qu'on puisse réfléchir sur ce genre de problèmes (au lieu de chercher des solutions aux sommes monstrueuses des manques à gagner des annonceurs publiés dans la presse) avant qu'ils ne se produisent.

  6. #6
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 384
    Points
    1 384
    Par défaut
    Citation Envoyé par David Evan Voir le message
    Bonjour,

    Je rejoins Gugelhupf sur une réflexion : Comment de si grosses sociétés responsables de nos données peuvent-elles ainsi faire l'objet de tels scandales sans jamais en être inquiété ?

    ...

    Ce qui me pose problème, c'est que finalement, les internautes sont victimes de vol, sans jamais avoir la possibilité de se défendre. Ne faudrait-il pas imposer de manière systématique, à partir d'un certain quota de données collectées, des audits de sécurité obligatoire ?

    Amicalement,
    Il y a apparemment un point qui vous a échappé: Il est impossible à qui que se soit (grande ou petite société!) d'assurer une protection à 100% des données!!! Du moment que vos données sont accessibles par internet, elles seront tôt ou tard à la disposition de hackers...

    Renseignez-vous sur le cas de la banque américaine JP Morgan (info qui a fait peu de bruit dans les médias européens), des hackers ont eu accès à plus de 83 millions de comptes bancaires appartenant aux clients de cette banque (76 mio de comptes de ménages américains et 7 mio de comptes d'entreprises)... Est-ce que vous croyez que la 3ème plus grosse banque des USA n'a pas réalisé des "audits de sécurité"???

  7. #7
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    août 2010
    Messages
    1 582
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : août 2010
    Messages : 1 582
    Points : 3 518
    Points
    3 518
    Par défaut
    Ce qui est le plus gênant sont les conséquences pédopornographiques de cette affaire. Les données ayant été piratées vont plus que probablement aller rejoindre de tels réseaux.

    Citation Envoyé par Victor Vincent Voir le message
    Le premier point est qu’il faut avoir un compte pour tous ses objets connectés. Aujourd’hui, de plus en plus d’objets sont connectés à Internet ou contrôlés via Internet, mais pour les utilisateurs, il n’est tout simplement pas possible de créer un nouveau compte utilisateur personnel pour chacun de ces objets, qu’ils soient des objets de la vie courante ou des jouets pour leurs enfants. Comme sur ces produits connectés VTech, les parents n’ont tout simplement pas envie de créer un compte simplement pour mettre à jour chaque jouet de leur enfant, tout comme ils n’ont pas envie de créer un compte utilisateur pour se servir de leur grille-pain. Et le problème est que lorsque vous avez des dizaines, voire dans l’avenir des centaines de comptes différents, cela signifie que vous avez potentiellement des dizaines, voire des centaines d’endroits par lesquels vous pouvez vous faire subtiliser vos identifiants. Dès lors que notre monde devient inexorablement de plus en plus connecté, il devient de plus en plus important de mettre en place des services d’ouverture de session unique (Single Sign-On) ou de gestionnaires de mots de passe qui évitent la réutilisation des mots de passe.
    N'oublions pas qu'un enfant est avant tout une éponge, un reflet qui stocke et qui reproduit ce que les personnes de son entourage font, en particulier les adultes et surtout leurs propres parents. Il n'y a pas que les enfants à éduquer dans cette affaire. Il y a aussi les parents. Les parents laissent entre les mains de leurs enfants des appareils dont ils ne mesurent pas eux-mêmes l'étendue de leurs pouvoirs. Idem pour l'éducation informatique dont j'ai souvent l'impression qu'elle relève plus du téléphone arabe qu'autre chose. Il faut sensibiliser les parents aux problématiques de l'informatique au lieu de les caresser dans le sens du poil (pour des raisons économiques et politiques). C'est seulement ensuite que, forts de la connaissance de ces problèmes là et des moyens pour les éviter, les parents laisseraient ensuite leurs enfants manipuler des appareils informatiques, sous leur contrôle bien entendu.

    Citation Envoyé par Traroth2 Voir le message
    "Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

    Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...
    Oui. Ces problématiques là vont par la force des choses devenir une préoccupation. L'IoT marque à mon avis un changement radical dans l'embarqué. Avant les objets embarqués fonctionnaient généralement en vase clos. Je dis volontairement "généralement" pour écarter les cas spécifiques et critiques comme par exemple le militaire, le médical ou bien l'aéronautique. Soit ils ne communiquaient pas du tout avec l'extérieur, soit ils communiquaient entre eux mais pas avec l'extérieur. Les problématiques de sécurité étaient alors forcément très faibles vu les risques encourus. OSEF par exemple de la sécurité dans les ordinateurs pour gosses à l'ancienne (comme ceux de VTech à l'époque), qui ne contenaient aucune donnée sensible et dont la communication avec l'extérieur se limitait à des cartouches d'extension éducatives. Mais la donne a changé. Maintenant ces mêmes objets embarqués sont plutôt des objets connectés, et la problématique de la sécurité vis-à-vis de l'extérieur, en particulier Internet, doit désormais être prise en compte. Ceux qui ne le feront pas en paieront le prix fort. Cet exemple d'enfants dont les photos plus ou moins intimes vont fuiter sur le Net comme pour des stars hollywoodiennes un jour de Fappening Day en est le parfait exemple. Ce genre d'évènement est hélas amené à se reproduire et se reproduira pour ceux qui se ficheront de la sécurité de leurs objets connectés. Ce sera du "sécurise ou crève".

    Citation Envoyé par Conan Lord Voir le message
    Le problème est qu'à partir du moment où on ne peut pas garantir le risque zéro, les données sont potentiellement en péril. La négligence des entreprises est certes inexcusable (quoique trop souvent excusée), la rigueur reste insuffisante. Un jour (espérons lointain), il y aura un scandale à plus grande échelle. Pour prendre un exemple extrême, si un coup d'État se produit au Mexique et si le pushiste est un peu collectionneur, tous les serveurs situés au Mexique pourraient se retrouver entre ses mains. C'est une arme de taille ! Ce serait chouette qu'on puisse réfléchir sur ce genre de problèmes (au lieu de chercher des solutions aux sommes monstrueuses des manques à gagner des annonceurs publiés dans la presse) avant qu'ils ne se produisent.
    Sans aller jusqu'à cet exemple extrême de dictature, on a déjà les USA avec la NSA. Certains clament qu'Internet ne peut pas être contrôlé, mais n'empêche qu'il est entre les mains des USA. Au delà des problèmes de vie privée c'est quand même la leçon n°1 à retenir des scandales de la NSA. Je pense par exemple à toutes ces personnes qui doivent choisir leur TLD au pif, tout en ignorant qu'en fait ils placent leurs sites sous telle ou telle bannière nationale. On se souviendra par exemple de MegaUpload, ce site soi-disant néo-zélandais que les USA ont réussi à faire tomber juste parce qu'ils avaient la main sur le ".com" de "megaupload.com". Ce n'est pas un hasard si son successeur "Mega" a adopté le .co.nz néo-zélandais dans "mega.co.nz", ce qui lui évite des problèmes avec les USA. On peut aussi penser à The Pirate Bay qui, faute d'eaux internationales sur le Web (cela n'existe pas), cherchent désespérément des ports d'attache nationaux peu farouches pour pouvoir continuer de faire ce qu'ils font.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  8. #8
    Expert confirmé
    Femme Profil pro
    Traductrice
    Inscrit en
    octobre 2015
    Messages
    680
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Traductrice
    Secteur : Communication - Médias

    Informations forums :
    Inscription : octobre 2015
    Messages : 680
    Points : 4 227
    Points
    4 227
    Par défaut
    Citation Envoyé par air-dex Voir le message
    Il n'y a pas que les enfants à éduquer dans cette affaire. Il y a aussi les parents.
    Oui, simplement personne n'en ressent le besoin. Le comportement des parents eux-mêmes est le reflet de ce qu'on leur montre. L'éducation ne suffit plus. La télé a encore un gigantesque pouvoir. Dans les séries (surtout américaines, mais toutes les nationalités sont représentées), le geek qui fait attention à ses données est présenté comme une magnifique caricature du complotiste paranoïaque. D'ailleurs, c'est lui le tueur.

    Citation Envoyé par air-dex Voir le message
    Ces problématiques là vont par la force des choses devenir une préoccupation.
    Pourtant, depuis le temps, on aurait déjà dû constater un semblant d'inquiétude. Même la CNIL, qui fait un travail efficace (selon les infos dont je dispose) dans son domaine de compétence et d'urgence, reste bien trop en retrait sur la nécessité de réglementer la collecte des données par les sociétés privées. Tout un chacun continue d'utiliser les services connectés par commodité. Et il est tout à fait compréhensible de préférer le GPS à la carte en papier ! Les risques de sécurité, presque tout le monde les connaît. Ceux qui veulent bien en tenir compte sont plus rares.
    Voici pourquoi j'ai utilisé l'exemple extrême (et pourtant réaliste) de la dictature : à mon avis, les gens ne se rendent pas compte qu'ils peuvent se faire attaquer de manière individuelle et à grande échelle, qui qu'ils soient. VTech, c'est pas de chance (ça n'enlève rien au caractère malheureux de l'affaire, j'ai des enfants également), mais ça ne touche qu'une toute petite partie de la population et, probablement (et heureusement, me dicte mon bon cœur), les concernés ne sauront jamais avec certitude où leurs données sont parties. Pour la NSA, l'écrasante majorité des européens pense que la NSA œuvre exclusivement pour le bien commun, de même que les gouvernements et la CIA (pour le KGB, on est moins sûr).
    L'idée "je n'ai rien à cacher, servez-vous" est répandue depuis l'apparition des caméras de sécurité dans les lieux publics, si ce n'est avant. Or, aujourd'hui, tout le monde a quelque chose à cacher, puisque presque tout est consigné. La légalité des actions n'entre pas plus en ligne de compte que l'absolution à l'église. Personne ne publierait une vidéo de lui-même dans sa vie de tout les jours, sans rien omettre. Le jour du débordement, tout le monde sera éclaboussé.

  9. #9
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    janvier 2013
    Messages
    12
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2013
    Messages : 12
    Points : 32
    Points
    32
    Par défaut Si, si, c'est complètement utopique
    Citation Envoyé par Traroth2 Voir le message
    "Il est utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public"

    Et bien dans ce cas, après 2 ou 3 affaires de ce genre, ils pourront mettre le clé sous la porte. Franchement, je ne suis pas persuadé que ça soit si "utopique" que ça...
    Le principe de fonctionnement d'une société d'aujourd'hui est de maximiser le profit et de gérer les risques selon leur impact potentiel sur ce même profit.

    Donc aucune chance qu'il mettent la clé sous la porte car:
    - Aucune loi n'est faite pour protéger, indemniser un client du vol de ses données ni une entreprise de s'être laissé pirater. Risque sur profit = 0 !
    - Des affaires de "ce genre" sont comprises et restent dans un cercle fermé de techniciens informatiques peu représentatif des clients. Le risque de perte de client est faible, le risque d'image est faible (un peu de marketing avec de petits mensonges et quelques demi-vérités suffira à noyer le poisson) donc le risque sur les profits est faible et en plus gérable.

    Bilan: aucune action ne sera entreprise sinon un peu de communication pour faire diversion afin de ne pas avoir d'impact financier sur la société.

    Que faire ?
    Moi, je met des informations fausses lorsqu'elles sont demandées à tort: ainsi je suis protégé des vols de données personnelles puisque ce ne sont pas mes données personnelles qui sont alors volées. Après il faudrait sensibiliser le législatif pour avoir des lois protectrices du consommateur: autant rêver par les temps qui courent. Bref, complètement utopique même si j'aurai aimé que ça ne le soit pas.

  10. #10
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : mai 2013
    Messages : 2 511
    Points : 10 180
    Points
    10 180
    Par défaut
    Le problème étant surtout qu'il faudrait des lois au niveau "mondial", car actuellement, même si admettons une telle loi passait en France, bah si les données sont stockées à l'étranger ou que la société qui se fait pirater est une société étrangère sans filiale en France, cette loi n'aurait aucun pouvoir.

    Et vu que l'on veut un internet libre, contrôler par personne, pourquoi des lois de protections des données seraient mises en place ? On ne veut pas de contrôle, et bien il n'y en a pas, que cela soit en bien ou en mal.

  11. #11
    Membre à l'essai
    Homme Profil pro
    Ingénieur Système Linux
    Inscrit en
    juillet 2009
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur Système Linux

    Informations forums :
    Inscription : juillet 2009
    Messages : 22
    Points : 21
    Points
    21
    Par défaut Chiffrement
    Ils peuvent pas les chiffrer leur mots de passe...

  12. #12
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 214
    Points
    2 214
    Par défaut
    Citation Envoyé par bmayesky Voir le message
    Le principe de fonctionnement d'une société d'aujourd'hui est de maximiser le profit et de gérer les risques selon leur impact potentiel sur ce même profit.

    Donc aucune chance qu'il mettent la clé sous la porte car:
    - Aucune loi n'est faite pour protéger, indemniser un client du vol de ses données ni une entreprise de s'être laissé pirater. Risque sur profit = 0 !
    - Des affaires de "ce genre" sont comprises et restent dans un cercle fermé de techniciens informatiques peu représentatif des clients. Le risque de perte de client est faible, le risque d'image est faible (un peu de marketing avec de petits mensonges et quelques demi-vérités suffira à noyer le poisson) donc le risque sur les profits est faible et en plus gérable.

    Bilan: aucune action ne sera entreprise sinon un peu de communication pour faire diversion afin de ne pas avoir d'impact financier sur la société.

    Que faire ?
    Moi, je met des informations fausses lorsqu'elles sont demandées à tort: ainsi je suis protégé des vols de données personnelles puisque ce ne sont pas mes données personnelles qui sont alors volées. Après il faudrait sensibiliser le législatif pour avoir des lois protectrices du consommateur: autant rêver par les temps qui courent. Bref, complètement utopique même si j'aurai aimé que ça ne le soit pas.
    Et le risque que plus personne n'achète de gadgets qui risquent de publier les photos de l'intérieur de sa maison avec ses gosses aux quatre coins du net, tu l'évalues, ou pas du tout ??? Contrairement à ce que tu dis, j'ai entendu parler de cette affaire VTech sur le site de l'Obs avant de venir sur dvp.

  13. #13
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    5 903
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 5 903
    Points : 147 396
    Points
    147 396
    Par défaut VTech souhaite se dédouaner de toute responsabilité
    VTech souhaite se dédouaner de toute responsabilité
    si son portail venait encore à être piraté

    Fin novembre, VTech, le fabricant de jouets connectés basé à Hong-Kong, a été victime d'un piratage massif de données personnelles de ses clients ; au total, plus de 6 millions de personnes/comptes se sont ainsi vus exposés. La France était alors le second pays le plus touché en termes de nombre de victimes. Après une fermeture qui aura duré deux mois, le portail web de l'entreprise ainsi que son magasin d'application en ligne ont été réactivés il y a quelques jours. Dans un courriel adressé aux utilisateurs, King Pang, qui est à la tête de l'entreprise, a expliqué que « après avoir renforcé notre protection des données, le service Learning Lodge est de nouveau en ligne », précisant que « nous nous sommes engagés à protéger les informations que vous nous confiez à VTech ».

    Et pour ceux qui n'auraient pas reçu de courriel, sur la plateforme il est indiqué aux clients « nous sommes heureux de vous informer que, après avoir renforcé la protection des données, la plateforme Explora Park est de nouveau disponible pour certains de nos jouets connectés, avec la remise en service de leurs fonctions principales », Learning Lodge étant le nom anglais d'Explora Park.

    Cependant, ce qui n'est pas précisé, c'est que l'entreprise a mis à jour sa politique d'utilisation en y apportant une clause qui la dédouane de toutes responsabilités si un cas similaire se représentait : « VOUS RECONNAISSEZ ET ACCEPTEZ QUE VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ DE VOTRE USAGE DU SITE ET DE TOUT SOFTWARE OU FIRMWARE QUE VOUS Y TÉLÉCHARGEREZ. VOUS RECONNAISSEZ ET ACCEPTEZ QUE LES INFORMATIONS QUE VOUS ENVOYEZ OU RECEVEZ PENDANT VOTRE UTILISATION DU SITE NE SONT PAS SÉCURISÉES ET PEUVENT ÊTRE INTERCEPTÉES OU ACQUISES PLUS TARD PAR DES PARTIES NON AUTORISÉES ».

    Un porte-parole de Vtech a expliqué que la politique d'utilisation d'Explora Park est comme celles proposées par de nombreux sites et services dans la mesure où « de telles limitations (de responsabilité) sont fréquentes sur le web ».

    Mais des experts en sécurité et en vie privée ont estimé que cette clause pourrait être une tentative pour éviter les poursuites si des intrusions futures dans les données des utilisateurs venaient à se reproduire. Ils ont estimé pour leur part que les utilisateurs devraient être au courant de cette modification qui a pour but de limiter la responsabilité de VTech, d'autant plus que l'entreprise s’immisce désormais dans le domaine de la surveillance maison.

    Rik Ferguson, le vice-président de la recherche de Trend Micro, a estimé que cette nouvelle clause est « scandaleuse, impardonnable , ignorante, opportuniste , et indéfendable ». Van Daalen, ancien directeur de bits of Freedom qui est devenu un avocat privé aux Pays-Bas, a avancé que « cette clause qui vise à couvrir leurs arrières ne fonctionne pas vraiment en Union européenne. Sous la loi européenne, vous avez l'obligation de sécuriser les données et vous ne pouvez pas y renoncer en mettant quelque chose comme ça dans les termes et conditions que vous avez avec vos clients ».

    Pour Angela Campbell, professeur de droit à l'université de Georgetown qui s'est spécialisée dans la protection de la vie privée et du consommateur, en vertu de la COPPA (Children's Online Privacy Protection Act), cette clause pourrait ne pas marcher aux États-Unis. Elle rappelle que la COPPA stipule que les sites web et entreprises qui collectent les données des enfants doivent informer les parents sur la nature des données collectées et ont l'obligation « d'établir et de maintenir des procédures raisonnables pour protéger la confidentialité, la sécurité et l'intégrité des informations personnelles collectées des enfants ».

    James Denaro, un avocat qui a fondé l'entreprise CipherLaw, soutient que plusieurs sites ont adopté de telles clauses : « ils se dédouanent un peu maladroitement, suite au piratage, mais c'est une disposition tout à fait raisonnable dans des conditions d'utilisation parce que personne ne pourrait promettre d'être parfaitement sécurisé ».

    Source : VTech, Vtech (conditions d'utilisation), motherboard
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  14. #14
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 132
    Points : 7 774
    Points
    7 774
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    James Denaro, un avocat qui a fondé l'entreprise CipherLaw, soutient que plusieurs sites ont adopté de telles clauses : « ils se dédouanent un peu maladroitement, suite au piratage, mais c'est une disposition tout à fait raisonnable dans des conditions d'utilisation parce que personne ne pourrait promettre d'être parfaitement sécurisé ».
    Je pense que ce monsieur et moi-même n'avons pas la même définition du mot "raisonnable"

  15. #15
    Membre extrêmement actif
    Avatar de Aurelien Plazzotta
    Homme Profil pro
    .
    Inscrit en
    juillet 2006
    Messages
    312
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : juillet 2006
    Messages : 312
    Points : 921
    Points
    921
    Par défaut
    Bonjour, Je suis d'accord avec vous Saverok mais l'avocat de CypherLaw saisit l'opportunité de lancer sa campagne de publicité pour faire un appel du pied aux futures entreprises ayant besoin de recourir à ses services en cas de procès de clients réclamant des dédommagements suite à une atteinte à leur vie privée. A une époque où la vie privée est en phase de transition entre une relique du passé et un droit inaliénable, James Denaro a bien compris que défendre des entreprises comme VTech est devenu un énorme segment de marché bien juteux à exploiter. Ce genre d'individu n'aura donc jamais la même définition que nous, potentiels clients, en matière de "raisonnable". En cas de polémique, il aura juste à déclarer qu'il a besoin de gagner sa croûte et se contente de faire son métier...
    Je porte l'épée brisée, et sépare les vrais rois des tyrans. Qui suis-je ?

  16. #16
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 155
    Points : 578
    Points
    578
    Par défaut
    Même s'ils pouvaient se dédouaner de ce genre de responsabilités, ils ont quand même une obligation de moyen en ce qui concerne la protection des données collectées.
    Vous me direz, encore faut-il prouver les manquements à cette obligation

  17. #17
    Membre éprouvé Avatar de petitours
    Homme Profil pro
    Ingénieur développement matériel électronique
    Inscrit en
    février 2003
    Messages
    1 626
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement matériel électronique
    Secteur : Industrie

    Informations forums :
    Inscription : février 2003
    Messages : 1 626
    Points : 1 201
    Points
    1 201
    Par défaut
    Bonjour

    Ça choque que moi que l’on parle de sécurité des connexions (donc à un réseau qui a besoin de l'être) pour des jouets ?
    Qu'est ce que la société gagne avec des jouets qui sont connectés, qui plus est à internet ? un jouet n'est ce pas des montagnes de lego, des peluches, des morceaux de bois, des crayons et des papiers, des tampons, des ballons, des vélos... ?

    Je trouve complètement hors sujet de parler d'éviter les failles de sécurité liées à des appareils qui ne devraient tout simplement pas exister !

    Vous allez me dire, il n'y a pas que les jouets... Ok mais plus haut on nous parle de "grille pain". J'ai beau aimer la technologie, programmer des microcontrôleurs avec des connexions GSM, BT ou wifi et être un peu geek sur les bords je reste dubitatif sur la notion de grill pain connecté il fait quoi ? il dit au placard de préparer le pain ? ça n'a pas de sens en terme de développement durable et encore moins en terme d'usage ; quand on a les doigts dans la confiture et qu'on dit bonjour à sa femme et ses enfants le smartphone est sensé être bien loin et en tous cas sert objectivement et pour toujours à rien.

    Dans les 2 cas, pourquoi ouvert sur l'internet ?
    Pouvoir laisser les enfants à la maison sans surveillance en les "surveillant" depuis le smartphone et faire des orphelins abandonnés s'il vous arrive quelque chose dehors ? (l'inverse est arrivé il y a pas longtemps avec la maman sortie et la maison en feu)
    Pouvoir allumer le grill pain depuis dehors, histoire de mettre le feu à la maison sans surveillance alors qu'il y a bébé qui dort seul dans la maison, lui aussi surveillé à distance ?
    Il y a 10 sortes de personnes dans le monde : ceux qui comprennent le binaire et les autres

  18. #18
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 132
    Points : 7 774
    Points
    7 774
    Par défaut
    Citation Envoyé par petitours Voir le message
    Je trouve complètement hors sujet de parler d'éviter les failles de sécurité liées à des appareils qui ne devraient tout simplement pas exister !
    Je trouve hors sujet de décider ce qui doit exister ou non.
    Dans le cas de ces jouets, il peut arriver que ce soit lié à de la reconnaissance vocale où dans ce cas, comme les tv Samsung, la reco se fait via le cloud sur d'autres serveurs.
    Ce n'est pas pas fait en local sur ledit jouet car il coûterai trop cher.

    Personnellement, je trouve stupide cette mode du tout connecté.
    Mais il y a un monde entre trouver quelque chose bête et déclarer qu'il ne devrait pas exister.
    je suis sûr qu'il y a des trucs que j'adore que d'autres trouvent stupides mais je revendique mon droit à acheter ces trucs (je mène actuellement un combat de tous les jours face à ma femme pour l'existence du Nutella éphémère dans mes placards malgré toutes les merdes que ça peut contenir )

  19. #19
    Membre éprouvé Avatar de petitours
    Homme Profil pro
    Ingénieur développement matériel électronique
    Inscrit en
    février 2003
    Messages
    1 626
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement matériel électronique
    Secteur : Industrie

    Informations forums :
    Inscription : février 2003
    Messages : 1 626
    Points : 1 201
    Points
    1 201
    Par défaut
    Bonjour

    Le développement durable et nos enfants nous autorise à essayer de faire des choses un peu meilleurs si. Si ça n'apporte pas le moindre confort ou progrès ça devient une évidence, voir notre responsabilité.
    indépendamment de ce point de vue il y a l'informatique : qu'un jouet, une imprimante ou un grille pain puisse se mettre au même niveau que le pc qui gère la compta ou que les données client d'une entreprise ça n'a pas de solution.
    Si réseau il faut pour les gadget il faudra que ça reste simple à mettre en œuvre et cela ne peut se faire qu'en marge, de manière complètement déconnectée des réseaux plus ou moins sensibles.
    Il y a 10 sortes de personnes dans le monde : ceux qui comprennent le binaire et les autres

  20. #20
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 132
    Points : 7 774
    Points
    7 774
    Par défaut
    Citation Envoyé par petitours Voir le message
    il y a l'informatique : qu'un jouet, une imprimante ou un grille pain puisse se mettre au même niveau que le pc qui gère la compta ou que les données client d'une entreprise ça n'a pas de solution.
    Si réseau il faut pour les gadget il faudra que ça reste simple à mettre en œuvre et cela ne peut se faire qu'en marge, de manière complètement déconnectée des réseaux plus ou moins sensibles.
    Si tu prônes la segmentation, autant y aller à fond.
    Pourquoi un site web people serait au même niveau que le site de ta banque ?
    Pourquoi une vidéo youtube d'un chaton serait au même niveau que la vidéo youtube du discours d'un politique ?
    etc.
    Si tu mets la main là dedans, gars aux dérives.

    Personnellement, je suis pour la neutralité du réseau, sa mutualisation et la responsabilisation des acteurs.
    Le dernier point est particulièrement important dans le cadre de VTech

Discussions similaires

  1. Plus d'un million d'utilisateurs pour Microsoft Dynamics CRM
    Par Marc Lussac dans le forum Microsoft Dynamics CRM
    Réponses: 1
    Dernier message: 21/09/2009, 15h14
  2. Plus d'un million d'utilisateurs pour Microsoft Dynamics CRM
    Par Marc Lussac dans le forum Actualités
    Réponses: 0
    Dernier message: 14/07/2009, 04h31
  3. Apple vend plus d'un million de modèles iPhone 3GS
    Par Marcos Ickx dans le forum Mobiles
    Réponses: 5
    Dernier message: 29/06/2009, 15h35
  4. Apple vend plus d'un million de modèles iPhone 3GS
    Par Marcos Ickx dans le forum Actualités
    Réponses: 0
    Dernier message: 24/06/2009, 13h48
  5. [Hadopi] Hadopi : Un cout de plus de 200 Millions d'Euros chez les F.A.I
    Par Pierre Louis Chevalier dans le forum Politique
    Réponses: 24
    Dernier message: 20/05/2009, 12h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo