10 millions de données clients volés à Orange Espagne ?

Posted On 05 Jan 2015

Tag: espagne, infiltration, orange, piratage

Depuis plus de 18 ans, zataz.com tire la sonnette d’alarme sur les piratages de sites Internet, de leurs données. Pendant que les élus auditionnent, que les lois tentent de nous protéger, que les sociétés réfléchissent plus à leur positionnement dans Google qu’à leur sécurité, les fuites de données, les infiltrations de sites Internet, les malveillances 2.0 pullulent. Je ne veux pas être alarmiste, l’Internet est un exceptionnel outil. Mais malheureusement les pirates l’ont bien compris, nous ne sommes que des portes-monnaie sur pattes. Dernière victime en date, Orange Espagne.

La semaine dernière, le groupe de pirates informatiques Linker Squad, me contactait pour m’annoncer le piratage de plusieurs importants sites Internet [lire Piratage : TF1 et ViaPresse communique sur le vol de 1,9 million de données clients et Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données]. Comme il me l’indiquait pour le cas d’un espace de TF1 infiltré “Notre but est de défier les sociétés victimes de nos piratages, qu’ils se rendent compte de leurs erreurs.” Dans la liste qu’ils vont me communiquer, le cas de plusieurs importantes structures 2.0, dont celui de l’opérateur téléphonique/Internet Orange Espagne.

Faille SQL, une plaie du web

Deux possibilités malveillantes ont offert l’occasion aux pirates d’accéder à des bases de données. Des espaces de stockages de noms, mails, adresses dédiés à ces pages Orange baptisées « Catalogie » et « Solidarios ». Selon les documents communiqués par les pirates à zataz.com, des dizaines de tables, dont certaines aux noms plus qu’évocateurs comme « Factures« .

Pour réussir ce vol, les pirates ont exploité une faille, une injection SQL via deux adresses réticulaires faillibles différentes [comme pour le cas de TF1/ViaPresse, NDR]. Pour rappel, Owasp, un organisme indépendant dédié à la sécurité informatique, a classé dans son top 10 les injections SQL comme étant la première plaie des applications web.

La filiale de l’opérateur français a pris en charge très rapidement les deux vulnérabilités et cela grâce à l’équipe sécurité Orange France contactée par le Protocole d’Alerte de zataz. Seulement, le mal était fait. « Nous avons dump la table usarios [utilisateurs, NDR] qui contient plus de 10 millions d’inscrits, nous n’en sommes qu’au début » indiquaient les pirates. Une affirmation à prendre cependant avec des pincettes. D’après les informations de ZATAZ, la table « Usarios » ne contiendrait que quelques dizaines d’adresses relatives à des salariés de l’entreprise Espagnole. Quand au dossier « eFactura » [factures, ndr], cette table aurait été vide au moment de l’attaque des troublions 2.0.

Les failles Orange Espagne ayant été corrigées, voici les adresses pour mieux comprendre la facilité d’exploitation de ce type de vulnérabilité par les pirates informatiques. Une erreur dans les urls affichait directement le problème. Les « visiteurs » n’avaient plus qu’à utiliser un logiciel pour exploiter les SQLi. : catalogoaccesible.orange.es/pages/terminales/view.php?id=13 et solidarios.orange.es/pages/actividades/historico.php?_pagi_pg=2. A noter que la seconde adresse était accessible via un https.

Les deux pirates, derrière cette attaque, ont expliqué dans les colonnes du Parisien être français, originaires de Lyon et Toulouse. Ils risquent jusqu’à 5 ans de prison et 350.000 euros d’amende. D’autant qu’ils ne sont pas à leurs coups d’essais. Ils avaient déjà agit, voilà quelques mois, sous les noms des groupes Phenomenal Crew. L’un des membres, Angry Bird, avait été arrêté, voilà quasiment un an, jour pour jour. A l’époque, ils avaient annoncé avoir piraté les bases de données de la Mutuelle Générale des Fonctionnaires et Agents de l’Etat de Côte d’Ivoire, d’un sous domaine de l’Université de Toulouse et d’une mutuelle française basée en outre-mer. Phenomenal Crew s’était reformé sous le nom de Payload Crew.

Orange voit Rouge avec les pirates

En octobre 2012, le groupe de pirates informatiques NullCrew s’invitait dans un des espaces d’une filiale l’opérateur téléphonique Orange. A cette époque, le piratage d’une base de données appartenant au portail britannique Orange (orange.co.uk). Au mois d’avril de la même année, le portail espagnol d’Orange était attaqué par un pirate du nom de Zyklon. 1,6 millions de comptes clients avaient été ponctionnés. Il y a un an, c’était une base de données « marketing » de clients qui se retrouvait dans la nature. L’opérateur sera sanctionné en août 2014 par la CNIL pour défaut de sécurité des données dans le cadre de campagnes marketing.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.