Ameli piraté ? Un pirate annonce une vente malveillante !

[Info ZATAZ] – Plusieurs pirates annoncent vouloir vendre des bases de données appartenant à plusieurs entités françaises dont AMELI.FR. Vraiment ?

Il signe son message Xìng Moa, une identité qui sent bon l’Asie [ce qui ne veut rien dire sur la géolocalisation du pirate]. Ce malveillant a d’ailleurs rajouté un détail qui tente de convaincre le lecteur. Avant d’afficher son identité, il a rajouté 姓. Le caractère chinois 姓 se prononce « xìng » et signifie « nom de famille » en chinois. C’est le caractère qui représente le nom de famille d’une personne, et il est généralement placé en premier lorsque l’on écrit un nom chinois, suivi du prénom. Bref, le pirate a écrit deux fois « Nom de famille » aprés Moa. Cela tendrait à dire qu’il ne connait pas les significations qu’il utilise, ou alors il s’appelle Nom de famille Nom de famille Moa 🙂

50 millions de français, et moi, et moi et moi (air connu)

Moa a annoncé le 9 octobre 2023 avoir en sa possession 50,110,674 logs appartenant aux « citoyens français ». Pour appuyer ses dires, il explique posséder : nom, prénom, date de naissance, sexe, numéro de sécurité sociale, adresse, numéro de téléphone, adresse électronique, consultations médicales, prescriptions, traitements médicaux, antécédents médicaux, nom d’utilisateur, mot de passe, questions de sécurité et réponses, transactions effectuées par l’utilisateur sur la plateforme, pages visitées, durée d’utilisation.

Selon ses dires, un accès à l’assurance maladie « AMELI » lui aurait permis d’extraire les informations. Aucune autre preuve n’est affichée par le pirate.

Plausible ? Pourquoi pas ? Il diffuse sa petite annonce via un darkweb connu, présenté par ZATAZ l’année dernière, où il est possible de croiser des centaines de bases de données vendues, échangées ou offertes ! On y croise autant d’arnaqueurs !

En décembre 2022, je vous expliquais comment des pirates recherchaient une base de données ameli.fr « Le serveur aurait été dumpé » affichait alors un des malveillants repérés par ZATAZ. Il ne reprenait qu’une rumeur ! Un « dump » présumé daté de l’été 2022.

Une rumeur qui date de 2022

Un pirate du nom de Moot proposait à la vente « les sessions d’administration, finances et donations, dossiers des patients (incluant toutes les informations : nom, prénom, numéro de ssn et plus encore.), installations et sauvegardes, fichiers pdf de certains accords, données sql. » Il affirmait alors avoir mis la main sur les données via ameli.fr, lassuranceretraite.fr et la caf.fr.

En juin 2022, un hacker malveillant, reprenant le pseudonyme du fondateur du forum pirate stoppé par le FBI, Raid Forum, affichait la vente, pour 2000$, d’un million d’identifiants de connexion à ameli.fr. Impossible de savoir, à l’époque, si nous avions à faire à un « Dump » ou un phishing massif et réussi.

Cependant, sur la même période, un autre pirate, via un second site web pirate, propose depuis le 8 octobre 2023, plusieurs bases de données affichant 4 millions de logs, puis 5 millions de logs qu’il affirme avoir copié à l’Assurance Maladie.

La première que j’ai pu constater comporte : identités, âges, téléphones, adresses postales, Etc. Le « piratin » a oublié de préciser que les informations avaient été copiée de l’annuaire de la CNAM (via data.gouv.fr). Données en source ouverte ! Elle reprend les dentistes et cabinets dentaires Français. La seconde base de données : médecins, sages-femmes, Etc. Il va d’ailleurs s’emmêler la souris en annonçant 4 millions, puis 5 millions de logs dans sa petite annonce.

Les fichiers datent de 2020. Ce pirate a fait le même coup avec data.iledefrance.fr ou encore annuaire.sante.fr. Il a d’ailleurs été banni du forum en question pour « scam ». Il a tenté d’escroquer d’autres pirates.

Bref, entre les pirates scammeurs [comme ceux que ZATAZ a infiltré], les pirates brokers de données comme ceux du « Project France« , les escrocs et les messages dans le darkweb ayant pour mission de ternir l’image d’une entreprise et/ou d’un pays, il est primordiale d’être prudent et d’analyser les humains cachés derrière ces annonces et ne pas se jeter sur le premier « post » qui passe.