Fuite de courriels... triste habitude du web

Publié le 07-04-2011 dans le thème Phishing - Hoax

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Note des lecteurs: 2.5/5

INFO ZATAZ - Alors que l´amérique s´émeut du vol de plusieurs millions de mels chez Epsilon, ZATAZ.COM met la main sur 60 millions d´adresses en quelques clics.

Voici l'un des nombreux messages laconiques envoyés par les sociétés clientes de l'agence marketing Epsilon : "Le weekend dernier, nous avons découvert qu'une partie des adresses e-mail de nos membres a été volée à la suite d'une intrusion non autorisée dans notre système. Nous avons repéré la faille et nous l'avons corrigée. Cet incident a été pris très au sérieux et des poursuites judiciaires sont en cours. En quoi êtes-vous concernés? Pour bon nombre d'entre vous: en rien. Seule une partie des adresses e-mail a été dérobée. Les mots de passe n'ont pas été atteints. Simplement, vous risquez de recevoir prochainement des e-mails non sollicités (des spams). Alors, pourquoi vous en parler? Parce que nous pensons que nous devons le faire. En tant que membre TripAdvisor, j'aimerais être informé. Malheureusement, le vol de données tend à se banaliser dans les entreprises, et nous allons nous occuper très sérieusement de cette affaire. Je vous rappelle que TripAdvisor ne possède aucune information de paiement ni aucun numéro de carte bancaire des voyageurs. Et, nous ne vendons pas et nous ne louons pas la liste de nos membres. Nous continuerons à prendre les mesures appropriées pour protéger les informations personnelles que vous avez confiées à TripAdvisor. Je vous présente mes sincères excuses pour cet incident et je vous remercie une nouvelle fois de faire partie de notre communauté de voyageurs. Steve Kaufer, Cofondateur et Président".

La société Air Miles, par exemple, a aussi alerté ses clients "Le Programme de récompense Air Miles a été avisé par notre fournisseur de service de messagerie qu'il a été victime d'un accès non autorisé à leur plate-forme de courrier électronique, qui est le système utilisé pour envoyer des courriels Air Miles (...) On nous a assuré que les seuls renseignements qui peuvent avoir été exposés sont le prénom, le nom de famille et l'adresse de courriel de certains de nos adhérents. Les détails au sujet de votre compte ne sont pas stockés dans ce système et n'étaient pas à risque. Veuillez noter qu'il est possible que vous receviez des pourriels suite à ceci."

Même sanction pour les filiales de Best Buy. Epsilon précise que deux pour cent de l'ensemble des eMails de ses clients ont été touchés.

Vendredi dernier des pirates ont exploité une injection SQL afin de voler des fichiers clients d'Epsilon, une filiale d'Alliance Data Systems dont les clients sont majoritairement des grandes banques, des détaillants et des groupes éducatifs. Bien qu'il semble à l'heure actuelle qu'aucune information financière n'ait été divulguée, des noms et des adresses e-mails semblent avoir été obtenus. Les escroqueries via une opération de "phishing" sont la préoccupation numéro un de ce vol. Les pirates peuvent alors envoyer de faux e-mails se faisant passer pour votre banque, une pharmacie, un hôtel ou une entreprise qui a été un client d'Epsilon. L'e-mail paraîtrait réel et convaincant puisque les attaquants ont les noms des clients et les informations des entreprises avec qui ils ont fait affaire. L'e-mail demanderait aux utilisateurs peu méfiants de cliquer sur un lien qui requêtrait de fournir des numéros de carte de crédit, d'exécuter des logiciels malveillants, d'installer des logiciels espions ou de mener d'autres attaques. "L'utilisateur doit être extrêmement prudent en ouvrant ou en cliquant sur les liens dans ses e-mails" confirme Amol Sarwate, responsable du laboratoire de recherche en vulnérabilités chez Qualys.

Voici les choses à chercher dans des courriels avant de déterminer ce qu'il faut faire :

1. Cet organisme m'envoie-t-il habituellement des e-mails ? Si le client ne reçoit que des rappels mensuels via e-mail, il doit être prudent concernant tout e-mail sortant du cadre de diffusion habituel.

2. Cet organisme me demande-t-il de cliquer sur des liens dans cet e-mail ? Il est dangereux de cliquer sur des liens reçus dans des e-mails. Une approche plus sûre pour visiter le site Web de l'organisation est de taper manuellement l'URL ou d'enregistrer l'URL dans vos favoris.

3. Est-ce que cet organisme me demande des renseignements personnels comme mon numéro de carte de crédit, etc ? Si une page Web qui a été ouverte via un lien placé dans un e-mail vous demande cette information, il s'agit probablement d'une fraude.

4. Est-ce que cet e-mail provient réellement de mon organisme ? En raison de la façon dont les e-mails fonctionnent, il n'est pas possible pour un utilisateur lambda de faire la distinction entre les e-mails envoyés par leur organisme ou par des pirates. Les utilisateurs ne doivent pas faire confiance aux e-mails, même si ils comportent les logos officiels ou si les couleurs ou tout autre élément familier ressemble exactement à la charte graphique de son organisme. Il est très facile d'utiliser ces éléments familiers qui incitent implicitement l'utilisateur à cliquer. Après tout, il suffit d'un clic pour que votre ordinateur soit compromis.

60 millions d'adresses en 25 minutes !

Soyons clair, les pirates n'ont pas eu le temps, ni les moyens de ponctionner plus d'information. Des pirates qui se contentent d'emails, nous n'en connaissons pas beaucoup, d'autant plus qu'il suffit de quelques mots clés bien sentis pour sortir des millions d'adresses de Google. Nous ne vous donnerons pas ces mots clés, histoire d'éviter les débordements numériques mais ZATAZ.COM a pu, en 25 minutes chrono, découvrir près de 60 millions d'adresses électroniques accessibles en quelques clics [voir nos captures écrans diffusés dans cet article, NDR].

Erreurs de webmasteurs, bases de données oubliées et/ou non protégées, ... bref, une manne qui dépasse l'entendement et qui tenterait à prouver que nos données ne sont que de vulgaires bits sur le réseau des réseaux. 60 millions de données sans piratage, ni tour de passe-passe malveillant. 60 millions qu'il faut additionner aux 16 millions de données privées et sensibles que nous avons permis de faire corriger, gratuitement et bénévolement, depuis le 1e janvier, via notre protocole d'alerte ZATAZ.

Quelques exemples : Des données liées à un phishing Caisse d´Epargne finissent sur le web ; CVV.SU Pwned.