Un groupe de pirates a frappé une chaîne de crèches londonienne et revendique le vol de données de milliers d’enfants. Une affaire choquante, qui relance les inquiétudes concernant la sécurité des données gérées par les structures de la petite enfance.
C’est une affaire glaçante, qui scandalise par la nature même des victimes visées. La chaîne de crèches Kido, qui gère notamment plusieurs établissements à Londres, a été victime d’un piratage massif revendiqué par un groupe de cybercriminels baptisé Radiant. Les pirates affirment avoir mis la main sur les photos, les noms et les adresses de près de 8 000 enfants, ainsi que sur des informations concernant leurs parents, leurs proches et des notes liées à leur sécurité. Ils exigent une rançon et, pour accentuer la pression, ont déjà publié certaines données sur le dark web et commencé à contacter directement certaines familles.
Un chantage inédit qui cible les plus vulnérables
Selon la BBC, le groupe Radiant a déjà diffusé sur le dark web un échantillon de données comprenant les profils complets de dix enfants, avec leurs photos et adresses, pour prouver qu’il détient bien les informations volées. Contactés par le média britannique, les hackers, qui se présentent comme des « pentesteurs », ont tenté de se justifier en expliquant qu’ils ne réclamaient « pas une somme énorme », estimant « mériter une compensation pour [leur] test d’intrusion », tout en reconnaissant que l’opération était avant tout motivée par l’argent.
La société Kido, qui gère dix-huit crèches à Londres et dans sa périphérie ainsi que plusieurs établissements aux États-Unis et en Inde, n’a pour l’heure publié aucune déclaration officielle. Selon la BBC, l’entreprise a demandé aux familles de ne pas s’exprimer publiquement, mais certaines ont toutefois choisi de témoigner. L’une d’elles raconte avoir reçu un message rédigé dans un anglais impeccable, détaillant les informations volées sur son enfant. D’autres s’alarment de la sensibilité des données compromises, notamment les notes internes liées à la sécurité et à la prise en charge des enfants.
Les spécialistes en cybersécurité parlent d’un niveau de cynisme rarement atteint. Graeme Stewart, de Check Point, juge l’attaque « indéfendable » et « épouvantable ». Le National Cyber Security Centre évoque un acte « profondément alarmant », qui franchit un cap dans les méthodes de cyber-extorsion. La police métropolitaine de Londres a ouvert une enquête et le régulateur britannique de la protection des données, l’Information Commissioner’s Office (ICO), a été saisi de l’affaire.
Le droit à l’image des enfants ne se négocie pas
Que des criminels puissent manipuler les données de tout-petits pour obtenir une rançon en dit long sur l’ampleur du problème de fond. Les crèches et structures éducatives collectent un volume considérable d’informations sensibles, mais le niveau de sécurité qu’elles devraient exiger n’est encore que trop souvent insuffisant. Or, si le risque immédiat pour les familles est surtout financier, la mise en ligne de photos et de données personnelles d’enfants pourrait aussi bien finir par alimenter des réseaux pédocriminels, menace autrement plus préoccupante que le chantage exercé aujourd’hui.
Pour les parents, cette réalité devrait sonner comme un rappel urgent à la vigilance. Dès l’inscription, il est essentiel de demander quelles données sont collectées, où elles sont stockées et avec quelles protections. L’établissement doit pouvoir expliquer si ses serveurs sont chiffrés et sécurisés, si les accès sont strictement limités et s’il existe des procédures de sauvegarde fiables. Si ces garanties paraissent trop légères, rien ne doit vous obliger à fournir des photos de votre enfant ni à autoriser leur diffusion dans les communications internes ou publiques. Vous pouvez même strictement refuser toute prise d’images dans la structure, droit que trop de parents ignorent encore.
On en profitera par ailleurs pour rappeler que cette exigence vaut aussi pour vos propres usages. Les réseaux sociaux regorgent de clichés d’enfants publiés par leurs proches, alors que la loi française protège désormais explicitement leur droit à l’image. Adopté en 2024, le texte impose aux parents de respecter la vie privée de leur enfant et d’obtenir son accord, selon son âge et sa maturité, avant toute diffusion. Une précaution qui n’a rien de symbolique puisque, selon l’Assemblée nationale, 50 % des images échangées sur les forums pédocriminels proviennent initialement de contenus mis en ligne par les parents eux-mêmes.
Pensez enfin que flouter un visage ne suffit pas non plus. La silhouette, les vêtements ou l’environnement peuvent déjà en dire long sur l’enfant. En clair, le plus sûr reste de ne pas publier du tout.
Source : BBC
