Un manufacturier de jouets connectés améliore les mesures de sécurité pour protéger adéquatement les renseignements d’enfants

Rapport de conclusions d’enquête en vertu de la LPRPDE no #2018-001

Le 8 janvier 2018


Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

Aperçu

Le fabricant VTech Holdings Limited, dont le siège social est situé à Hong Kong, a avisé le Commissariat d’une atteinte mondiale à la protection des données qui  a potentiellement compromis les renseignements personnels de plus de 316 000 enfants canadiens (nom, sexe, date de naissance, photos de profil, enregistrements vocaux et registres de discussions par clavardage avec les parents) et de plus de 237 000 adultes canadiens (nom, adresse électronique, adresse IP et adresse postale), qui sont pour la plupart les parents des enfants. Les personnes touchées avaient acheté ou utilisé des produits ou services Web de l’entreprise qui sont destinés aux enfants. Par la suite, nous avons reçu une plainte d’un Canadien touché par l’incident et entamé une enquête en vue d’évaluer le caractère adéquat des mesures de sécurité de l’information prises par l’organisation.

L’enquête a révélé d’importantes lacunes liées aux mesures de sécurité dans le cadre du processus de gestion de l’information de VTech. Plus particulièrement, nous avons constaté (i) l’absence d’essais et un manque de maintenance visant à détecter et à corriger les vulnérabilités (dans le cas présent, le pirate avait exploité une vulnérabilité bien connue pour accéder aux systèmes de VTech), (ii) le caractère inadéquat des contrôles d’accès administratif, (iii) diverses défaillances liées à la protection cryptographique, (iv) l’absence de journalisation et de surveillance de la sécurité permettant de détecter les menaces potentielles et (v) l’absence d’un programme général et exhaustif de gestion de la sécurité.

Les mesures de sécurité en question ne correspondaient pas au volume et à la sensibilité potentielle des renseignements en cause, ce qui, à notre avis, aurait pu exposer les enfants à des risques inutiles de préjudice si les renseignements étaient tombés entre les mains de personnes malintentionnées.

En fin de compte, nous sommes satisfaits qu’àla suite de l’incident et pendant l’enquête, VTech ait pris, en temps opportun, toutes les mesures nécessaires pour (i) circonscrire la portée de l’incident, (ii) réduire le risque pour les personnes touchées et (iii) atténuer le risque d’un incident similaire à l’avenir en réglant les problèmes relatifs à la sécurité.

En conséquence, nous avons conclu que la plainte était fondée et résolue.

Plainte

  1. Le plaignant a allégué que l’entreprise VTech Holdings Limited (« VTech » ou le « mis en cause ») n’aurait pas protégé les renseignements personnels de ses clients, y compris ceux des enfants. En particulier, il a allégué que les serveurs de VTech avaient été piratés et qu’il y aurait eu par conséquent un accès non autorisé aux renseignements personnels des clients, dont potentiellement les siens et ceux de son fils.

Résumé de l'enquête

Contexte

  1. VTech est un fabricant de produits électroniques d’apprentissage destinés aux enfants (ainsi que le plus grand fabricant au monde de téléphones sans fil). Le siège social est situé à Hong Kong, et le mis en cause mène ses activités dans 13 pays et régionsNote de bas de page 1. VTech Technologies Canada Ltd. en est la filiale canadienne.
  2. À la fin novembre 2015, plusieurs reportages dans les médias ont porté sur une atteinte mondiale à la protection des données touchant les systèmes de VTech (l’« incident »). L’intimé a informé officiellement le Commissariat de cet incident au début décembre.
  3. Le plaignant, un client de VTech et propriétaire de quelques jouets fonctionnant par Internet du mis en cause (un système interactif de lecture de livres numériques et un portable Tote & Go WEB) était préoccupé par l’incident, tel qu’il a été rapporté par les médias, et il a déposé une plainte auprès du Commissariat.
  4. L’avocat de VTech a commandé une analyse technico-juridique dans le but de déterminer la cause et l’ampleur de l’incident. VTech a communiqué les résultats de l’enquête au Commissariat. Notre enquête et le présent rapport reposent sur (i) les arguments présentés par VTech, y compris ceux concernant les résultats de l’analyse technico-juridique, (ii) les recherches du Commissariat et (iii) les échanges pendant la collaboration avec nos homologues à l’étranger, la Federal Trade Commission des États-Unis et le Commissariat à la protection de la vie privée et des données de Hong Kong.

Description détaillée de l’incident

  1. Du 12 au 29 novembre 2015, un utilisateur non autorisé a réussi à accéder à plusieurs cyberenvironnements différents de VTech. Le pirate a d’abord accédé à un des environnements VTech situé sur un serveur hébergé par un tiers, par « injection SQL ». Il a ensuite utilisé diverses méthodes (dont l’utilisation de justificatifs d’identité compromis d’un administrateur interne et de mots de passe valides stockés dans un environnement d’essai) pour obtenir des privilèges, se déplacer latéralement entre plusieurs environnements et accéder enfin aux données de clients dans un environnement de production en direct. Il a ensuite copié une partie des données du réseau de VTech aux fins d’exportation.
  2. VTech a indiqué que, puisqu’elle était incapable de déterminer exactement quelles données le pirate avait exfiltrées, elle présumait que toutes les données hébergées sur les serveurs compromis avaient pu être consultées ou copiées. Les données se rapportaient à divers sites Web et à diverses applications en ligne, dont (i) Learning Lodge (qui permet aux clients de télécharger des applications, des jeux, des livres électroniques et d’autres contenus pédagogiques sur leurs produits VTech), (ii) Planet VTech (un monde virtuel pour les enfants), (iii) Kid Connect (une application qui permet aux enfants et aux parents d’échanger des messages vocaux, des textos, des photos, etc., entre les appareils VTech et les téléphones intelligents des parents). Les renseignements des bases de données associées à ces environnements (« bases de données ») comprennent ce qui suit :
    1. Renseignements relatifs aux comptes des parents, dont le nom, l’adresse électronique, une question et une réponse secrètes à des fins de récupération du mot de passe, l’adresse IP, l’adresse postale, l’adresse de facturation, les quatre derniers chiffres et la date d’expiration de la carte de crédit, l’historique des téléchargements, l’historique des achats d’appareils et le mot de passe.
    2. Renseignements concernant les enfants, dont le nom, le sexe et la date de naissance, des photos, des enregistrements vocaux et les messages de clavardage (avec les parents).
  3. L’incident a touché plus de 316 000 enfants canadiens et plus de 237 000 adultes canadiens, qui étaient pour la plupart les parents des enfants.
  4. VTech a également confirmé que les renseignements personnels liés au compte du plaignant et au fils de ce dernier auraient pu être compromis par l’incident.
  5. Le mis en cause a fait remarquer que les bases de données ne contenaient pas les renseignements sur la carte de crédit ou le compte bancaire. Par exemple, pour faire un paiement ou mener à bien le processus de transaction à la suite d’un téléchargement effectué à partir du site Web Learning Lodge, les clients de VTech sont redirigés vers une passerelle de paiement sécurisée d’un tiers. Le mis en cause a également expliqué que les bases de données ne contenaient pas de numéros de carte d’identité comme la carte d’assurance sociale ou le permis de conduire.
  6. L’utilisateur non autorisé a été arrêté et les renseignements téléchargés sur ses appareils ont été récupérés.
  7. VTech a expliqué qu’il a pu comprendre que l’utilisateur avait uniquement l’intention d’attirer l’attention sur les vulnérabilités soupçonnées de VTech sur le plan de la sécurité de l’informationNote de bas de page 2. Ce dernier a révélé certains renseignements auxquels il a eu accès à un journaliste qui, à son tour, en a fourni une partie à un blogueur du domaine de la sécurité de l’information à des fins de validation avant de rendre l’affaire publique. Les renseignements ont depuis été mis hors ligne. VTech a pris des dispositions auprès de l’agence du journaliste et du blogueur pour assurer le retour ou la suppression de tous les renseignements en question. VTech n’a aucune raison de croire que l’utilisateur non autorisé a fourni à quiconque une copie des renseignements ou permis à quiconque de consulter ceux-ci, ou que d’autres divulgations de renseignements ont eu lieu.

Préoccupations liées aux mesures de sécurité

  1. VTech a affirmé qu’il avait déjà cerné le besoin d’évaluer les risques concernant les systèmes touchés et que l’évaluation de certains aspects était déjà prévue, mais non réalisée, au moment de l’incident.
  2. De plus, VTech a fourni au Commissariat une description détaillée des mesures de sécurité en place et des lacunes décelées dans le cadre de l’analyse technico-juridique. Le résumé non exhaustif ci-dessous expose certains des principaux problèmes relevés.
Mise à l’essai et maintenance
  1. Le pirate a accédé à un des réseaux de VTech en utilisant un type d’exploitation de faille de sécurité bien connu et répandu, à savoir l’injection SQL. VTech ne s’était pas doté d’un programme d’essais réguliers visant à repérer de telles vulnérabilités. Par conséquent, on n’avait pas mis en œuvre des stratégies connues d’atténuation des risques du genre. VTech n’avait pas non plus mis en place un programme de maintenance régulier visant à assurer la mise à jour des logiciels et l’installation des correctifs permettant de remédier aux vulnérabilités connues.
Contrôles d’accès
  1. On a aussi relevé des lacunes liées aux contrôles d’accès administratif des environnements, serveurs et bases de données ayant été compromis, à savoir le stockage de mots de passe de production dans l’environnement d’essai, le partage de comptes entre les employés et l’accès à l’ensemble des réseaux par les administrateurs locaux.
Cryptographie
  1. Plusieurs problèmes ont été cernés en ce qui concerne la protection cryptographique des renseignements dont VTech est responsable (c.-à-d. la transformation et l’embrouillage des données, qui nécessitent un décodage avant la lecture; p. ex., par le chiffrement, le hachage et le salage). Par exemple, certains renseignements (dont le nom du parent, le nom et le sexe de l’enfant, ainsi que la question de sécurité et la réponse associée servant à la récupération du mot de passe) étaient stockés sous forme de texte brut, et certains messages des clients étaient transmis sous forme de texte clair (non crypté). Les mots de passe des clients étaient stockés à l’aide de méthodes cryptographiques qui sont bien connues pour être vulnérables. D’autres données (comme les photos des enfants, les registres des discussions par clavardage et les enregistrements vocaux) étaient stockées sous forme cryptée, mais le pirate a réussi à en décrypter au moins une partie, comme en font foi les renseignements publiés en ligne, à l’aide de clés de chiffrement se trouvant dans les serveurs compromis.
Journalisation et surveillance
  1. VTech ne s’était pas doté d’un mécanisme adéquat de journalisation et de surveillance de la sécurité de l’hôte et des réseaux, permettant de détecter les menaces potentielles ou les activités inhabituelles ou non autorisées (exfiltration des données de clients, etc.). VTech a expliqué qu’il avait l’intention de mettre en place un système de détection et de prévention des intrusions, mais qu’il ne l’avait pas encore fait au moment de l’incident.
Cadre de gestion de la sécurité
  1. Enfin, VTech avait adopté diverses politiques et procédures visant à régler certains problèmes liés à la protection des renseignements personnels, mais il n’avait prévu aucune politique globale et exhaustive sur la sécurité des données ni de formation connexe, ni de programme assurant l’évaluation des risques et l’examen des politiques à des intervalles réguliers.

Réaction à l’incident

  1. En plus de déclarer l’incident au Commissariat et aux autres autorités compétentes, et de retenir les services d’un spécialiste technico-juridique pour en analyser la cause et l’ampleur, VTech a pris des mesures afin de limiter la portée de l’incident, d’atténuer le risque pour les personnes touchées et d’améliorer les mesures de sécurité dans le but de réduire la possibilité qu’un incident similaire se reproduise.
  2. VTech a fourni au Commissariat des renseignements importants concernant les mesures mises en œuvre après avoir pris connaissance de l’incident. Même si nous ne décrirons pas en détail les mesures de sécurité mises en œuvre afin de ne pas compromettre celles-ci, on retrouvera ci-dessous un aperçu des mesures correctives prises par VTech.
Limitation de la portée de l’incident
  1. Dès qu’il a entendu parler de l’incident par l’organe de presse qui était sur le point de rendre l’affaire publiqueNote de bas de page 3, VTech a pris des mesures visant à en restreindre la portée; il a notamment mis hors ligne les bases de données, les serveurs et les sites Web touchés, puis il a nettoyé et reconstruit les systèmes infectés avant de les remettre en ligne.
Atténuation du risque pour les personnes touchées
  1. VTech a pris plusieurs mesures visant à atténuer le risque pour les personnes touchées par l’incident. Par exemple, il a informé les utilisateurs de l’incident directement (au moyen d’un courriel aux clients concernés le 27 novembre 2015, qui contenait de l’information générale sur l’incident et une description des mesures de sécurité à prendre pour atténuer les risques afférents) aussi bien qu’indirectement (au moyen de communiqués de presse, de messages diffusés sur les médias sociaux et d’une FAQ publiée sur son site Web). Les utilisateurs ont dû changer leur mot de passe à l’ouverture de la session subséquente. VTech a également collaboré avec les responsables de l’application de la loi de divers pays, afin de faciliter les enquêtes sur l’incident.
Réduction de la possibilité qu’un incident similaire se reproduise
  1. En réaction à l’incident ainsi qu’à la suite de l’intervention des autorités responsables de l’application des lois sur la protection de la vie privée, VTech a pris un certain nombre de mesures correctives visant à réduire la possibilité qu’un incident similaire se reproduise :
    1. Essais et maintenance : VTech a mis en œuvre (i) un protocole d’essais réguliers à facettes multiples en vue de déceler les vulnérabilités potentielles des systèmes et (ii) un programme de gestion des mises à jour et des correctifs visant à atténuer les risques des vulnérabilités connues.
    2. Contrôles d’accès administratif : VTech a pris des mesures visant à limiter le nombre de personnes ayant un accès administratif et a limité l’accès à partir des comptes d’administration (p. ex., l’accès à un autre réseau par les administrateurs locaux). Il a aussi renforcé les contrôles d’authentification (mots de passe plus efficaces) et mis en œuvre des mesures internes visant à resserrer le contrôle de l’utilisation des comptes d’administration.
    3. Cryptographie : VTech a mis en œuvre des solutions de cryptographie améliorée pour le stockage des renseignements et crypte désormais les renseignements des utilisateurs qui sont en transit entre ses sites Web et ses applications.
    4. Journalisation et surveillance : VTech a centralisé les journaux des événements et en a augmenté le nombre afin de faciliter la détection et l’analyse des activités non autorisées sur ses réseaux. Il a aussi limité et surveille désormais le trafic sortant de données transmises vers Internet.
    5. Cadre de gestion de la sécurité : VTech a mis en application une nouvelle politique détaillée sur la sécurité des données qui prévoit la création d’un comité de gouvernance de la sécurité des données chargé de veiller (i) à la sensibilisation du personnel grâce à une séance de formation annuelle sur la politique et la sécurité des données, (ii) au respect de la politique et (iii) à l’évaluation des risques, à l’analyse comparative des bonnes pratiques et aux examens annuels afin d’assurer la pertinence de la politique et des mesures connexes visant la sécurité des données.
  2. VTech a affirmé que ces changements réduisent le risque qu’un autre incident survienne, car il sera plus difficile pour un pirate d’accéder aux systèmes de VTech, de compromettre les justificatifs d’identité, de s’accorder des privilèges d’un niveau supérieur, de passer d’un réseau à l’autre et d’accéder aux renseignements des clients.

Application de la Loi

  1. Pour rendre notre décision, nous nous sommes appuyés sur les principes 4.7, 4.7.1, 4.7.2 et 4.7.3 de l’annexe I de la Loi.
  2. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Il précise aussi que les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. Le principe 4.7.2 stipule, d’une part, que la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. D’autre part, il stipule que les renseignements plus sensibles devraient être mieux protégés. Le principe 4.7.3 spécifie que les méthodes de protection devraient comprendre : (a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; (b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et (c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Analyse

  1. À notre avis, VTech n’a pas mis en place des mesures de sécurité administratives et techniques appropriées pour protéger les renseignements personnels des consommateurs.
  2. Le niveau de protection doit correspondre au degré de sensibilité de l’information en question, et tenir compte du risque de préjudice qui guetterait les personnes si la sécurité des données était compromise.
  3. Les données sous la responsabilité de VTech, et dont la confidentialité a été mise en péril à la suite de l’incident, comprenaient des renseignements personnels détaillés (p. ex. nom, date de naissance, adresse, adresse électronique et réponses aux questions de sécurité) qui pourraient être utilisés à des fins d’hameçonnage et de vol d’identité.
  4. Nous notons de plus que VTech conservait des renseignements personnels sur des millions de consommateurs, et que les renseignements personnels de plus de 500 000 Canadiens, dont plus de 300 000 enfants, ont été mis en péril à cause de l’incident.
  5. Enfin, et ce qui est peut-être plus important encore, les données comprenaient des renseignements personnels importants se rapportant à des enfants, entre autres des détails sur leurs parents et l’endroit où ils vivent, des photos, le contenu de séances de clavardage et des enregistrements vocaux. Ces renseignements, lorsqu’ils sont regroupés, peuvent servir à créer des profils détaillés et, s’ils tombent entre de mauvaises mains, des enfants pourraient être inutilement exposés au risque d’être ciblés de façon malveillante. Heureusement, dans le cas présent, il semble que ce n’était pas l’intention des pirates informatiques, mais l’information en cause était néanmoins très sensible compte tenu du risque de préjudice pour les enfants, un groupe vulnérable.
  6. Étant donné la sensibilité de l’information sous la responsabilité de VTech et du nombre de personnes touchées, entre autres des enfants, nous estimons que l’entreprise était tenue de mettre en place des mesures de sécurité renforcées pour assurer une protection adéquate contre l’accès non autorisé.
  7. Compte tenu des faiblesses techniques et administratives mentionnées aux paragraphes 15 à 19, VTech n’a manifestement pas mis en place des mesures de sécurité adéquates. Ces carences sont apparues clairement dans l’élaboration, la mise en œuvre et la mise à jour subséquente de son site Web et de son programme de gestion de l’information.
  8. VTech aurait dû avoir un programme de mises à l’essai régulières pour détecter les vulnérabilités du système et y remédier. Comme il a été mentionné précédemment, dans le cas qui nous occupe, le pirate a pu exploiter une faille de conception bien connue, que VTech n’avait pas corrigée.
  9. Souvent, en raison de leur rôle, les titulaires de compte d’administration ont davantage accès aux renseignements et aux fonctions de modification des systèmes. Les comptes d’administration deviennent ainsi fréquemment une cible pour les pirates informatiques. Il est donc important d’établir des mesures rigoureuses pour limiter l’accès aux comptes d’administration aux personnes autorisées qui en ont besoin. Les organisations devraient aussi limiter l’accès à chacun des comptes d’administration, et les privilèges qui y sont associés, aux personnes qui en ont besoin pour jouer leur rôle. Cela servirait aussi à assurer la segmentation des environnements de données. Tel que mentionné précédemment, les contrôles d’accès administratif n’étaient pas adéquats : le pirate a pu exploiter l’accès initial à un environnement d’essai et à un compte d’administration local pour se déplacer entre les environnements et, au bout du compte, avoir accès à des renseignements sensibles sur des consommateurs et des enfants de partout dans le monde.
  10. VTech aurait dû en outre veiller à ce que les renseignements sensibles soient protégés au moyen d’une cryptographie appropriée. Dans le cas présent, une bonne partie de l’information en question était conservée ou transmise sans aucune protection cryptographique. La protection cryptographique par mot de passe était inadéquate et, comme les clés de déchiffrement n’étaient pas protégées correctement, les données chiffrées étaient laissées sans protection.
  11. Par ailleurs, VTech aurait dû avoir un programme continu de journalisation et de surveillance pour détecter et atténuer les menaces, comme celles qui se sont concrétisées par l’incident.
  12. Enfin, VTech aurait dû avoir une politique détaillée sur la sécurité, ainsi qu’un programme de formation, de surveillance de la conformité, d’évaluation des risques et d’examen des politiques pour s’assurer que les renseignements sous sa responsabilité étaient protégés adéquatement.
  13. En définitive, selon nous, VTech a contrevenu au principe 4.7 de la Loi.
  14. Nous sommes cependant convaincus qu’à la suite de l’incident et des interventions du Commissariat et de nos homologues en matière de protection de la vie privée, VTech a mis en place, en temps opportun, suffisamment de mesures (comme il est indiqué aux paragraphes 20 à 25) pour :
    1. limiter la portée de l’incident, par exemple en mettant les systèmes hors ligne et en réinitialisant les justificatifs d’identité des comptes d’administration mis en péril;
    2. atténuer le risque pesant sur les personnes touchées, par exemple en les avisant rapidement et en réinitialisant les mots de passe (mentionnons particulièrement que VTech, ne sachant pas exactement quels renseignements avaient été exfiltrés, a judicieusement présumé que toutes les données hébergées sur les serveurs compromis auraient pu être consultées ou copiées);
    3. atténuer le risque qu’un incident similaire se reproduise à l’avenir, par exemple en prenant les mesures suivantes :
      1. mises à l’essai fréquentes et maintenance/mises à jour pour détecter et atténuer les vulnérabilités potentielles;
      2. contrôles d’accès limité plus rigoureux;
      3. pratiques améliorées en matière de cryptographie pour mieux protéger les renseignements sous sa responsabilité;
      4. journalisation et surveillance accrues pour détecter les menaces potentielles;
      5. cadre global de gestion de la sécurité pour faire en sorte que le personnel soit sensibilité et se conforme aux exigences, et que les mesures de sécurité soient toujours adéquates.
  15. Nous arrivons à la conclusion que cette question a été résolue, confiants dans le fait que VTech a conclu un règlement avec la Federal Trade Commission des États-Unis, qui, entre autres choses, exige que VTech mette en place un programme complet de sécurité des données qui fera l'objet de vérifications périodiques pour assurer que le programme continue d'être adéquat.

Conclusion

  1. Par conséquent, nous concluons que la plainte est fondée et résolue.
Date de modification :