Questions / Réponses concernant le piratage de «L Explora Park» - VTech 29/12/2015 Dernière mise à jour: 16h, heure française Sur l incident 1. Est-il vrai que le site VTech a été piraté? Nous confirmons que, le 14 Novembre 2015, une personne non autorisée a eu accès à la base de données VTech liée à notre plateforme de téléchargement d applications «Learning Lodge» (Explora Park en France), ainsi qu au serveur «Kid Connect». Le «Learning Lodge/ Explora Park», permet aux consommateurs de télécharger des contenus (applications, jeux éducatifs, ebooks ) pour certains produits VTech. «Kid Connect» permet aux parents de communiquer depuis une application smartphone avec leurs enfants utilisant une tablette VTech. 2. Quel site a été touché? La base de données de la plateforme d applications «Learning Lodge/Explora Park» de VTech a été affectée, et une personne non autorisée a eu accès au serveur «Kid Connect» de VTech. Par mesure de précaution, nous avons temporairement suspendu l accès à «Learning Lodge/Explora Park», au réseau «Kid Connect», et aux sites suivants, pendant que nous conduisons une évaluation des conditions de sécurité : www.planetvtech.com www.lumibeauxreves.com www.planetvtech.fr www.vsmilelink.com www.planetvtech.de www.planetvtech.co.uk www.planetvtech.es
www.proyectorvtech.es www.sleepybearlullabytime.com de.vsmilelink.com fr.vsmilelink.com uk.vsmilelink.com es.vsmilelink.com 3. Comment avez-vous pris connaissance de cette intrusion? Nous avons reçu un email d un journaliste canadien nous informant de l incident le 23 Novembre 2015. Nous avons immédiatement mené une enquête interne, qui a confirmé une activité irrégulière sur le site de «Learning Lodge/Explora Park», le 14 novembre. Nous avons mené un audit complet des sites affectés pour décider des actions prioritaires pour prévenir d éventuelles futures incursions. 4. Quand avez-vous constaté l intrusion? Nous avons constaté l intrusion d une personne non autorisée le 24 Novembre 2015. 5. Quand avez-vous informé vos clients et le grand public? Après avoir constaté qu une personne non autorisée a eu accès à l une de nos bases de données clients, nous avons publié une déclaration sur notre site web mondial (https://www.vtech.com/en/media/press-releases) le vendredi 27 Novembre 2015 décrivant les détails de l incident. Le même jour, nous avons envoyé une notification par email à tous les détenteurs d un compte Explora Park et Kid Connect. Nous avons publié une deuxième déclaration, le lundi 30 Novembre 2015. Un troisième communiqué de presse avec des informations supplémentaires a été publié le jeudi 3 Décembre à 2015. 6. Pourquoi ne pas avoir informé les consommateurs et le grand public plus tôt?
Nous avons mené une enquête pour nous assurer de l accès non-autorisé à notre base de données, et avons averti nos consommateurs par email le 27 novembre, dès que nous en avons eu la confirmation. 7. Combien de consommateurs sont concernés? Nos consommateurs utilisateurs de «Learning Lodge/Explora Park» et «PlanetVTech» sont concernés. Voici le détail pour chaque plateforme : a. Learning Lodge/ Explora Park Au total, 4.854.209 comptes parents et 6.368.509 profils enfants associés sont concernés sur le plan mondial. Parmi ces 6.3 million de profils enfants, 1,2 million ont autorisé l application «Kid Connect». Les profils enfants, contrairement aux comptes parents, comportent un champ d information plus restreint, soit le nom, genre et date anniversaire. b. PlanetVTech PlanetVtech compte 235,708 comptes parents et 227,705 profils enfants. 8. Pouvez-vous fournir le détail des comptes affectés par pays? Voici le détail de l ensemble des comptes par pays : Pays Comptes Parents Profils enfants Etats-Unis 2,212,863 2,894,091 France 868,650 1,173,497 Royaume-Uni 560,487 727,155
Allemagne 390,985 508,806 Canada 237,949 316,482 Autres 168,394 223,943 Espagne 115,155 138,847 Belgique 102,119 133,179 Pays-Bas 100,828 124,730 Irlande 40,244 55,102 Amérique Latine 28,105 36,716 Australie 18,151 23,096 Danemark 4,504 5,547 Luxembourg 4,190 5,014 Nouvelle Zélande 1,585 2,304
9. Comment le hacker a-t-il pu accéder si facilement aux données? Cette attaque est d ordre criminel et a été très bien planifiée. Nos bases de données «Learning Lodge /Explora Park», «Kid Connect» et «PlanetVtech» ont été attaquées par un hacker très doué. Dès que nous en avons été informés, nous avons mené un audit complet pour décider des actions urgentes et éviter des problèmes ultérieurs. D après nos dernières investigations, l ensemble des autres sites VTech n a pas été affecté. 10. Pouvez-vous confirmer que le pirate a volé des photos et des conversations entre les parents et les enfants, comme le reporte le site internet Motherboard? L enquête est en cours et nous ne pouvons rien confirmer sur ce sujet pour l instant. 11. Je lis aussi que des conversations écrites et audio ont fuité depuis Kid Connect? Pouvez-vous confirmer? Pourquoi avoir stocké ce type d informations sur vos serveurs plutôt que sur les produits eux-mêmes? L enquête est en cours et nous ne pouvons rien confirmer sur ce sujet pour l instant. 12. Il est rapporté que la police britannique a arrêté un homme de 21 ans en relation avec le piratage. Avez-vous un commentaire à ce sujet? L'enquête est en cours, nous n avons donc, pour l instant, pas d autre information que celle annoncée par l'unité régionale du Sud-Est contre la criminalité organisée (South East Regional Organised Crime Unit -SEROCU- basée au Royaume-Uni. -Les conséquences du piratage 13. Quels sont les pays concernés par ce piratage? Notre base de données comporte des informations sur des consommateurs vivant aux USA, Canada, Royaume-Uni, Irlande, France, Allemagne, Espagne, Belgique, Pays-Bas, Danemark, Luxembourg, Amérique Latine, Hong Kong, Chine, Australie et Nouvelle- Zélande.
14. Quel type d'information se trouve dans les bases de données? Vous trouverez ci-dessous le détail des données contenues dans les bases Explora Park et Kid Connect : Explora Park - informations de compte du Parent y compris le nom, l'adresse email, question secrète et la réponse pour la récupération de mot de passe, adresse IP, l'adresse postale, l'historique de téléchargement et mot de passe. - informations de profil d'enfants, y compris le nom, le sexe et la date de naissance. - rapport de vente des contenus téléchargés. - historique des scores de jeu réalisés, destinés aux parents pour suivre les progrès de l enfant. Kid Connect - informations de compte de l'utilisateur incluant l'adresse email, mot de passe et photo de profil. La base de données «Learning Lodge/Explora Park» ne contient aucune information de paiement (numéro de carte bancaire ou de carte de crédit, ou autres informations financières). Lors d un achat sur le «Learning Lodge / Explora Park», les consommateurs sont redirigés sur un site de paiement tiers entièrement sécurisé. La base de données «Learning Lodge / Explora Park», ne contient pas d information sur le numéro de carte d identité, le numéro de sécurité sociale, le permis de conduire ou données similaires. 15. Est-ce qu il y a eu un piratage ou vol de coordonnées/ transactions bancaires? Non, la base de données «Learning Lodge / Explora Park», ne contient aucune information de paiement (numéro de carte bancaire ou de carte de crédit, ou autres informations financières). VTech ne stocke aucune information concernant les cartes de crédit sur le site «Learning Lodge / Explora Park». Afin de finaliser le paiement d une application ou un achat sur le«learning Lodge / Explora Park», les consommateurs sont redirigés sur un site de paiement tiers entièrement sécurisé.
16. Pourquoi aviez-vous besoin de stocker des données personnelles concernant les utilisateurs du «Learning Lodge / Explora Park»? «Learning Lodge / Explora Park» est une plateforme qui permet aux consommateurs de télécharger des contenus éducatifs supplémentaires (jeux, e-books, musiques, vidéos ) pour les produits VTech. Les consommateurs doivent créer un compte pour pouvoir acheter puis télécharger ces contenus. L ensemble des données de ce compte nous permet d identifier les consommateurs, et suivre leurs téléchargements. 17. Que puis-je faire pour mieux me protéger? Bien que tous les mots de passe personnels des clients soient cryptés, des données cryptées peuvent être décodées par des pirates informatiques qualifiés. Nous vous recommandons donc de changer immédiatement vos mots de passe sur tous les autres sites qui peuvent utiliser le même email, la même question secrète ainsi que sa réponse, et la combinaison de mot de passe. 18. Que fait VTech pour protéger les données stockées et liées à l application «Kid Connect»? Le service «Kid Connect» a été temporairement suspendu. Nous révisons actuellement nos protocoles de sécurité et allons supprimer tous les messages non envoyés avant de redémarrer le service. 19. Comment puis-je changer mon mot de passe ou supprimer mon compte sur Learning Lodge /Explora Park ainsi que toutes mes données stockées dans vos serveurs? Par mesure de précaution, nous avons temporairement suspendu l accès à Learning Lodge/Explora Park et au service Kid Connect et plusieurs autres sites, afin de procéder à une évaluation approfondie de la sécurité et d ajouter des protocoles de sécurité supplémentaires. Nous reviendrons vers vous sur le sujet lorsque les sites seront prêts à être réactivés.
20. Quand puis-je espérer une remise en service du Learning Lodge/Explora Park? Vais-je devoir me ré-enregistrer? Nous avons pour objectif de remettre en ligne les principales fonctions du Learning Lodge/Explora Park d ici mi Janvier 2016. En attendant, nous proposons des solutions temporaires qui permettent aux consommateurs de contourner l'enregistrement de leur jouet sur l Explora Park et donc d être en mesure d'utiliser la plupart des fonctions de Storio TV, Storio Max, Storio et la lecture de leurs cartouches de jeu. Le consommateur peut consulter le Support FAQ dédié, présent sur nos différents sites, et suivre les instructions pour effectuer une mise à jour qui va permettre aux produits VTech mentionnés ci-dessus de fonctionner. États-Unis: http://www.learninglodgesupport.com/index.html?lang=us Canada (en anglais): http://www.learninglodgesupport.com/index.html?lang=caeng Canada (Français): http://www.learninglodgesupport.com/index.html?lang=cafre Royaume-Uni: http://www.learninglodgesupport.com/index.html?lang=gb France: http://www.learninglodgesupport.com/index.html?lang=fr Allemagne: http://www.learninglodgesupport.com/index.html?lang=de Espagne: http://www.learninglodgesupport.com/index.html?lang=es Pays-Bas: http://www.learninglodgesupport.com/index.html?lang=nl Nous aviserons nos clients des démarches à suivre lorsque le Learning Lodge/Explora Park sera prêt à être réactivé. Les solutions mises en place par VTech 21. Que fait VTech pour renforcer la protection des données de ses consommateurs? Dès la découverte de l incident, nous avons immédiatement procédé à une vérification complète des sites affectés et nous avons pris des mesures rigoureuses contre des attaques futures. L'enquête se poursuit et nous étudions des mesures supplémentaires pour renforcer la sécurité de notre base de données «Learning Lodge/Explora Park» et de «Kid Connect». Nous sommes totalement engagés pour protéger les informations de nos consommateurs et leur vie privée et vous prémunir de tels incidents à l avenir. 22. Est-ce que VTech a informé ses consommateurs de cet incident?
Oui, nous avons informé nos consommateurs et le grand public de cette attaque. Nous avons communiqué sur l incident via un communiqué sur le site Web du Groupe Vtech En anglais : https://www.vtech.com/en/media/press-releases/ En français : www.vtech-jouets.com/communique-explorapark Nous ajouterons des informations complémentaires dès qu elles seront disponibles. Plusieurs messageries ont d ores et déjà été mises en place pour répondre à toutes les demandes de renseignements selon les pays : Etats-Unis: vtechkids@vtechkids.com Canada: toys@vtechcanada.com France: explora_park@vtech.com Allemagne: downloadmanager@vtech.de Pays-Bas: exp@vtech.com Espagne: informacion@vtech.com Royaume-Uni: consumer_services@vtech.com Australie et Nouvelle Zélande: enquiriestoys_aunz@vtech.com Hong Kong: corporate_mail@vtech.com Autres pays: corporate_mail@vtech.com 23. Allez-vous également suspendre l accès à l application «Kid Connect»? Nous avons totalement suspendu l accès au «Learning Lodge/Explora Park», au réseau «Kid Connect», mais aussi plusieurs autres sites du groupe VTech depuis le 29 novembre 2015. 24. Quelles autres mesures ont été prises par VTech? Nous avons totalement suspendu l accès au «Learning Lodge/Explora Park», au réseau «Kid Connect», mais aussi plusieurs autres sites du groupe VTech, pour nous assurer que les données de nos consommateurs sont à l abri de toute nouvelle attaque : www.planetvtech.com
www.lumibeauxreves.com www.planetvtech.fr www.vsmilelink.com www.planetvtech.de www.planetvtech.co.uk www.planetvtech.es www.proyectorvtech.es www.sleepybearlullabytime.com de.vsmilelink.com fr.vsmilelink.com uk.vsmilelink.com es.vsmilelink.com Nous sommes actuellement en train d engager une collaboration avec la société Mandiant, spécialisée dans les questions de sécurité, qui va travailler avec nos ingénieurs pour réaliser un audit complet de nos processus de sécurité et nous permettre de renforcer notre approche de la sécurité des données. Nous sommes actuellement en train de contrôler et réviser notre gestion des données consommateurs et allons renforcer nos process de sécurité à cette occasion. 25. VTech a-t-il rapporté le cas aux autorités publiques? Faites-vous l objet d une enquête? Nous avons averti des spécialistes de la sécurité des données qui sont en relations avec les autorités locales. Comptez sur notre engagement total pour tirer tous les enseignements de cet incident et garantir à nos consommateurs l utilisation de nos jouets dans un environnement sûr, concernant la protection de leurs données et de leur confidentialité.