VTech

VTech a été fondée à Hong Kong en octobre 1976 par deux entrepreneurs locaux, Allan Wong (Chi-Yun) et Stephen Leung. Lorsque le premier microprocesseur monopuce « Intel 4004 » est devenu disponible au début des années 1970, la société a vu le potentiel qu’il offrait pour les produits électroniques grand public portables. Wong &Leung a créé une petite usine à To Kwa Wan, avec un investissement de 40 000 dollars et un personnel de 40 personnes. La première année, le chiffre d’affaires était inférieur à 1 million de dollars américains.

VTech s’est d’abord concentré sur le développement de jeux vidéo. En 1977, la société a créé sa première console de jeu télévisée domestique, une version de Pong. Comme seuls les consommateurs d’Amérique du Nord et d’Europe pouvaient s’offrir de tels articles, l’entreprise ciblait principalement ces marchés.

Le Royaume-Uni a été choisi comme premier marché pour Pong, car Hong Kong et le Royaume-Uni utilisaient la même norme pour les systèmes de télévision. En 1978, les fondateurs ont présenté les jeux à DEL qu’ils avaient développés aux acheteurs de RadioShack aux États-Unis, qui étaient vendus sous la marque RadioShack.

VTech a ensuite commencé à construire sa propre marque. À partir du début des années 1980, une ligne de jeux électroniques sera fabriquée. VTech a dévoilé son premier produit d’apprentissage électronique, appelé « Lesson One », au salon du jouet de New York, en février 1980. Il permet aux enfants d’apprendre l’orthographe et les mathématiques de base. Une version exclusive sous le nom de « Computron » a été offerte à Sears, le produit faisant l’objet d’une publicité importante de la part de Sears, dans son catalogue, qui était un guide d’achat populaire.

Ensuite, VTech a fabriqué la console de jeux vidéo CreatiVision. Un produit électronique avec projecteur externe de la société française Ludotronic a été adapté par VTech et vendu sous le nom de « VTech ProScreen » en 1984, après la sortie des produits portables Gamate et Variety de VTech l’année précédente.

VTech s’est ensuite lancé dans les ordinateurs personnels, notamment une série de PC compatibles IBM à partir de 1983, puis des ordinateurs compatibles Apple II, à partir de 1985, dont un modèle appelé Laser 128.

VTech s’est retiré du marché des ordinateurs personnels en 1997, en raison d’une forte concurrence.

En 1985, la Commission fédérale des communications des États-Unis (FCC) a attribué la bande de fréquence 900MHz aux appareils ISM (industriels, scientifiques et médicaux). Profitant de cela, VTech a commencé le développement d’un téléphone sans fil, utilisant la bande 900 MHz, et en 1991, a lancé le premier téléphone sans fil 900 MHz entièrement numérique au monde.

En 2000, pour développer son activité de téléphone sans fil, VTech a acquis l’activité de téléphonie grand public de Lucent Technologies. L’acquisition a également donné à VTech le droit exclusif pendant 10 ans d’utiliser la marque AT&T dans le cadre de la fabrication et de la vente de téléphones filaires et d’accessoires aux États-Unis et au Canada. Bien que l’acquisition ait augmenté de 50 % les ventes de produits de télécommunication de VTech, elle a entraîné des pertes d’exploitation et des amortissements. La société a émis un avertissement sur les bénéfices en mars 2001 et a lancé un vaste plan de restructuration. Dès l’exercice 2002, la société avait redressé l’entreprise et retrouvé la rentabilité.

Aujourd’hui, les activités principales de VTech restent les téléphones sans fil et les produits d’apprentissage électronique. Ses services de fabrication sous contrat – qui fabriquent divers produits électroniques pour le compte d’entreprises de taille moyenne – sont également devenus une source importante de revenus. L’entreprise s’est diversifiée géographiquement, vendant à l’Amérique du Nord, l’Europe, l’Asie, l’Amérique latine, le Moyen-Orient et l’Afrique.

2015 data breachEdit

En novembre 2015, Lorenzo Bicchierai, écrivant pour le Motherboard du magazine Vice, a rapporté que les serveurs de VTech avaient été compromis et que la société avait été victime d’une violation de données qui a exposé les données personnelles appartenant à 6,3 millions d’individus, y compris des enfants, qui se sont inscrits ou ont utilisé des services fournis par la société liés à plusieurs produits qu’elle fabrique. Bicchierai a été contacté par l’attaquant anonyme fin novembre, pendant la semaine précédant Thanksgiving, et c’est à ce moment-là que l’individu anonyme a divulgué des informations sur les vulnérabilités de sécurité avec le journaliste et a détaillé la violation.

Bicchierai a ensuite contacté le chercheur en sécurité de l’information Troy Hunt pour examiner les données fournies par l’attaquant à Bicchierai, et pour confirmer si la fuite était effectivement authentique et non un canular sur Internet. Hunt a examiné les informations et a confirmé qu’elles semblaient authentiques. Il a ensuite disséqué les données en détail et publié ses conclusions sur son site Web. Selon Hunt, les serveurs de VTech n’ont pas utilisé le cryptage SSL de base pour sécuriser les données personnelles en transit entre les appareils et les serveurs de VTech ; que VTech a stocké les informations des clients en clair non cryptées, n’a pas haché ou salé les mots de passe de manière sécurisée.

L’attaque a exploité une injection SQL pour obtenir un accès root privilégié aux serveurs de VTech. Une fois l’accès privilégié acquis, l’attaquant a exfiltré les données, notamment quelque 190 gigaoctets de photographies d’enfants et d’adultes, des journaux de discussion détaillés entre parents et enfants qui s’étendaient sur plusieurs années et des enregistrements vocaux, tous non chiffrés et stockés en texte clair. L’attaquant a partagé quelque 3 832 fichiers d’images avec le journaliste à des fins de vérification, et certaines photographies expurgées ont été publiées par le journaliste. Commentant la fuite, l’attaquant anonyme a exprimé son dégoût d’avoir pu obtenir si facilement l’accès à une telle quantité de données, en disant : « Franchement, ça me rend malade d’avoir pu obtenir tout ça. VTech devrait avoir le livre jeté sur eux  » et a expliqué que leur raison d’aller à la presse était parce qu’ils pensaient que VTech aurait ignoré leurs rapports et leurs préoccupations.

La sécurité d’entreprise de VTech ne savait pas que leurs systèmes avaient été compromis et la violation a été portée à leur attention après avoir été contactée par Bicchierai avant la publication de l’article. Dès la notification, l’entreprise a mis hors ligne une douzaine de sites web et de services.

Dans une FAQ publiée par l’entreprise, elle explique que quelque 4 854 209 comptes appartenant à des parents et 6 368 509 profils appartenant à des enfants avaient été compromis. L’entreprise affirme également que les mots de passe ont été cryptés, ce qui est contraire aux rapports du chercheur en sécurité indépendant contacté par Vice. La société a indiqué qu’elle travaillait avec des « autorités locales » non précisées. VTech a par la suite fait appel à la société de services de sécurité de l’information FireEye pour gérer la réponse à l’incident et auditer la sécurité de leur plateforme à l’avenir.

Mark Nunnikhoven de Trend Micro a critiqué la gestion de l’incident par l’entreprise et a qualifié leur FAQ de « discours d’entreprise insipide ». »

Les sénateurs américains Edward Markey et Joe Barton, cofondateurs du Bi-Partisan Congressional Privacy Caucus, ont publié une lettre ouverte à l’entreprise pour demander pourquoi et quel type d’informations appartenant aux enfants est stocké par VTech et comment ils utilisent ces données, les pratiques de sécurité employées pour protéger ces données, si les informations des enfants sont partagées ou vendues à des tiers et comment l’entreprise se conforme à la loi sur la protection de la vie privée des enfants en ligne.

En février 2016, Hunt a rendu public le fait que VTech avait modifié ses conditions générales pour les nouveaux clients afin que le client reconnaisse et accepte que toute information transmise à VTech puisse être interceptée ou acquise ultérieurement par des parties non autorisées.

En janvier 2018, la Commission fédérale du commerce des États-Unis a infligé à VTech une amende de 650 000 dollars américains pour la violation, soit environ 0,09 dollar par victime.