Abonnés Canal Plus changez votre mot de passe !

Posted On 11 Nov 2019

Tag: accès, canal plus, espace client, mot de passe, piratage

Découverte d’une boutique commercialisant plusieurs milliers d’abonnés Canal Plus. ZATAZ met la main sur les informations que le pirate n’a pas su protéger.

Les comptes abonnés Canal Plus sont vendus entre 5,50 et 16,50€. Des tarifs variant selon les « packs » accolés aux données piratées et vendues dans cette boutique que ZATAZ a découvert.

Le malveillant n’explique pas comment il a pu mettre la main sur les informations. Dans sa boutique, au moment de l’écriture de cet article, une cinquantaine de comptes sont à vendre. « La livraison se fait instantanément après votre paiement. Indique le pirate. Si vous ne recevez pas le compte, merci de vérifier dans vos spams/courriers indésirables. Si vous ne le trouvez pas, alors contactez-moi en me précisant le numéro de commande« . Le paiement se fait par Paypal. Le pirate précise qu’il ne faut pas « modifier les informations du compte. Sans quoi la garantie ne sera pas valable. »

Par garantie, il faut comprendre celle que propose le pirate. Un problème, il remplacera l’accès piraté acquis.

Plusieurs milliers de comptes à vendre

Dans ma surveillance, j’ai pu mettre la main sur plusieurs milliers de comptes clients Canal Plus exploités par ce pirate. Des comptes 0day, comprenez qu’ils n’ont jamais été exploités.

Pour confirmer la véracité des informations, j’ai pris les comptes clients utilisant le numéro de téléphone portable du légitime propriétaire. Ils m’ont tous confirmé la véracité du mot de passe.

D’où proviennent ces données ?

Piratage d’abonnés Canal, via l’entreprise ? Les compétences internes ne sont plus à démontrer et je doute de cette possibilité.

Fuite d’un partenaire ? Pourquoi pas ! Les cas Desjardins ou encore Trend Micro sont des exemples. Dans les données que j’ai pu intercepter, les informations sur les abonnements me paraissent fortement complets : mail, mot de passe, offre, options, frais d’accès, dans certains cas les âges, date de fin de contrat…

Des données volées via d’autres piratages et phishing ? Fortement possible aussi.

Dans le doute, abonnés Canal, changez vos mots de passe

Fait étonnant, moi même client, avec un mail et mot de passe dédiés, il m’a été demandé de changer mon sésame à la suite « d‘un trop grand nombre de tentatives de connexion« . Étonnant ! Quelqu’un aurait eu accès à ce mail unique, créé pour cet accès ?

Premièrement, pour vous protéger, simple. Cliquer sur « Mot de passe oublié » présent à l’entre de votre espace client. Changer le « précieux ». Par pitié, arrêtez d’utiliser votre « prénom123 » !

Ensuite, abonnés Canal, assurez-vous de ne pas utiliser le même sésame dans d’autres espaces numériques.

Pour finir, le Service Veille ZATAZ offre aux Abonnés Canal Plus une recherche « Shoot’n’Go« . Elle permettra de savoir si vous êtes dans la liste de ce pirate informatique. Pour cela, envoyer un mail (celui qui vous sert de connexion à C+) à l’adresse : aide[arobase/a commercial]dataleak.exposed. Vous pouvez aussi écrire une lettre de résiliation canal plus et fermer votre compte.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.