Piratage massif pour des centaines de sites Français

Quel est le point commun entre plusieurs dizaines de mairies françaises, Carrefour et le président du groupe politique UPR ? Des pirates ont réussi à installer de fausses pages dans les sites officiels afin de diffuser des contrefaçons.

Des pirates dans votre site ? Je vous racontais en avril 2019 l’infiltration du site web officiel de la Commission Européenne. Des pages pirates dirigeaient les internautes vers de fausses vidéos. Ce même type d’attaque avait impacté des nombreux sites Français à l’occasion de la Coupe du Monde de Football Féminin 2019.

Voici une nouvelle vague. Si les cyberattaques citées plus haut étaient orchestrées par des malveillants originaires des pays de l’Est, le nouveau cas que va vous révéler ZATAZ semble avoir été mis en place par des pirates asiatiques.

Plusieurs dizaines de mairies

Dans le lot des victimes de cette infiltration malveillante, les villes de Roubaix, Preuilly, Sallaz, Pont du casse, Biscarrosse, Hesingue, Limoges, Tavegny, La Pesse, Sainte Eulalie, Aube, Sainte Croix de Quintillargues, Souvignargues, Lauterbourg, Bessans, Le chautay, Ferriere la grande, Chalamont, Saint Antoine sur l’isle, Jabreilles-les-bordes.

Les autres cas référencés : la Maison régionale de l’eau de Provence-Alpes-Côte d’Azur. Côté politique : le site de l’UPR, et plus précisément son espace TEST; l’Ambassade du Togo en France. Le Département de la Seine et Marne, ou le Conseil Général 35 via relation-usagers.fr.

La grande distribution n’a pas été épargnée. La société Carrefour s’est retrouvée avec des dizaines de fausses pages via le sous-domaine « jeukdo.carrefour.fr« .

Sans parler de centaines de sites web de PME/PMI (PolyPro France, CSSI, IdraFroup, trisomie21 France, celusol France Energie, e2i, Hestia…) et autres confédérations professionnelles, comme celles des planteurs de betteraves ou ipm potato groupe.

La santé (continuum, Solutions medicales, cgt-hopital-manosque.fr…)

J’avoue que le nombre d’entreprises des secteurs « industriel » et « énergie » a de quoi intriguer. Un hasard ou leurre qui cache une infiltration plus sournoise ?

Des pirates ? Un Ninja !

Qui se cache derrière cette attaque ? Difficile de cibler. L’originalité se situe dans les pages malveillantes. Toutes proposées en langue japonaise.

Des infiltrations ayant pour mission d’attirer les japonais vers des contrefaçons de smartphones, de logiciels, de médicaments et autres faux Vuitton. Du « black seo » pour réorienter les internautes vers des boutiques illicites. Certaines pages exécutaient un code malveillant comme a pu nous l’indiquer l’antivirus GData (Trojan.Script.1006652/Trojan/PHP.WebShell). Un code malveillant aperçu la première fois en mars 2019.

Étonnant encore, la présence d’un groupe de pirates (Electronic Thunderbolt Team) comprenant des Égyptiens, Algériens … Des traces retrouvées dans certains sites modifiés me laissent songeur. Comment ces deux entités malveillantes peuvent-elles se retrouver, au même moment, dans les mêmes espaces.

Comme pour le cas de la mairie de Chalamont [capture ci-dessous]. Des Copycats ? Possible ! Mais qui copie qui ?

En attendant, quid des données personnelles sur ces sites ? Les fausses pages ont pu collecter des informations, allant de l’ip, en passant par les informations que des internautes ont pu fournir, en toute bonne fois, pensant être sur un espace officiel.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. PATRICK CAMBON Reply

    Merci Damien pour cet article.C est extrêmement impressionnant mais très inquiétant. Pour autant comment faire pour réveiller les consciences des décideurs ?

    • Damien Bancal Reply

      Bonjour,
      Education et rabâcher, toujours… Le problème des mise à jour humaines… elles s’effacent avec le temps !
      Cordialement

  2. Stephane fichet Reply

    J ai contacte plusieurs site il y a quelques annees pour leur indiquer ce probleme. Tres peu ont daignes meme repondre. Une simple recherche du style « vuiton pas cher » ou equivalent sur un moteur de recherche celebre vous retourne des centaines de site. Soit les gens n ont pas conscience du risque, soit ils ne veulent pas ou pire ils s en moquent.

  3. SecureInfo42 Reply

    C’est pénible car cela justifie et favorise le filtrage et la surveillance de masse… Il y’a de quoi se demander quelle est la concordance entre les lois en cours et les événements : loi « haine » et loi « antiterroriste ».

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.