Sur le fond d'écran blanc et rose bonbon voisinent la petite grenouille KeroKeroKeroppi, le lapin My Melody et, surtout, le célébrissime chaton Hello Kitty. L'inscription sur SanrioTown.com, la «communauté officielle en ligne pour les fans» des petits personnages de la firme japonaise Sanrio, est gratuite. La sécurité des données, elle, est aléatoire. Pendant près d'un mois, les données personnelles de 3,3 millions d'utilisateurs – dont, évidemment, beaucoup d'enfants – ont été à la portée de pirates potentiels sans compétences particulières.
C'est le chercheur américain en cybersécurité Chris Vickery qui a révélé la faille ce week-end, a rapporté le site spécialisé CSO Online. A l'air libre ou presque, la base de données des inscrits sur SanrioTown.com, donc, mais aussi celles, agrégées, de quatre sites «connexes» (comme HelloKitty.com ou MyMelody.com). Le tout contenant noms, adresses mail, dates d'anniversaire, pays d'origine, «questions secrètes» (et leurs réponses), et mots de passe (certes chiffrés, mais avec une méthode peu sûre, comme le signale Wired). Ce mardi, l'entreprise a indiqué à Reuters avoir «réglé le problème», ce qu'a confirmé le chercheur.
35 000 bases de données «disponibles publiquement»
Si, assure Sanrio, «rien n'indique que des données personnelles aient été volées», pour Chris Vickery, «il aurait été extrêmement facile pour quelqu'un de mal intentionné de [les] prendre», «presque aussi facile que de charger une page web». En cause, une banale erreur de configuration du système de gestion de bases de données MongoDB. Sanrio n'est d'ailleurs pas le seul à avoir commis ce type d'erreur. John Matherly, le fondateur de Shodan, un moteur de recherche spécialisé dans les objets connectés, expliquait sur son blog, le 15 décembre dernier, avoir comptabilisé pas moins de 35 000 bases MongoDB «non authentifiées, disponibles publiquement».
Ce n'est pas le premier problème de sécurité découvert dans une entreprise amenée à stocker en masse les données personnelles de jeunes utilisateurs. Fin novembre, le fabricant de jouets électroniques hongkongais VTech s'était vu subtiliser celles de plus de 11 millions de personnes, dont 6,4 millions d'enfants. Le tout à la suite d'une attaque informatique très connue et très peu complexe.