Previous Story
Des pirates de l’administration fiscale devant la justice
Des pirates français devant la justice pour avoir tenté de piéger des contribuables français. Préjudice pour l’administration fiscale, plus de 200 000 euros. Une histoire de combos de password achetés dans le darkweb !
L’accès aux espaces personnels des particuliers sur le site des finances publiques a été verrouillé de manière plus rigoureuse à la suite d’une attaque informatique. Nous sommes alors en 2019. L’affaire de fraude au crédit d’impôt, qui en est résulté, est en voie de conclusion judiciaire comme l’explique Gabriel Thierry, sur ZDnet.
En 2019, l’administration fiscale avait diffusé une alerte concernant ces agissements.
Deux français sont poursuivis pour leur rôle présumé dans ce piratage pas comme les autres. L’un des prévenus, un informaticien, a plaidé coupable d’avoir automatisé l’attaque à l’aide d’un logiciel gratuit accessible en ligne. Les deux suspects sont également accusés d’avoir commis une escroquerie en bande organisée, mais un seul a été représenté par un avocat, qui a plaidé la relaxe.
Combos par-ci, combos par-là
L’enquête a révélé que les deux prévenus avaient obtenu l’accès à environ 11 000 comptes de messagerie en utilisant des identifiants et des mots de passe acquis gratuitement ou achetés en ligne. Des combos (regroupement de milliers d’identifiants de connexion) qu’il est possible de trouver sur le web et dans le darkweb par millions ! Souvenez-vous de ma découverte de 100 millions d’adresses électroniques et mots de passe, il y a quelques mois !
Les prévenus ont utilisé cette matière première pour tenter de frauder environ 2 000 contribuables en falsifiant leurs déclarations fiscales, avant d’être arrêtés par les autorités. Le complice de l’informaticien devait ouvrir des comptes bancaires en Belgique pour recueillir les fonds, mais a rencontré des difficultés logistiques pour le faire. ZATAZ vous a expliqué la méthode, dans l’émission de Julien Courbet, en janvier dernier.
L’enquête a également révélé que les deux suspects étaient actifs sur les marchés noirs, où ils ont tenté de vendre des certificats de fausse déclaration d’employés et de fausse certification de voitures, et ont tenté de hameçonner des clients d’une banque. Cependant, ces activités ont été jugées hors du cœur de métier de la DGSI, l’agence de sécurité intérieure chargée de l’affaire, et n’ont donc pas été poursuivies. Les prévenus risquent jusqu’à trois ans de prison, dont deux avec sursis, pour les charges qui pèsent contre eux.
Exemple de boutique pirate commercialisant des identifiants de connexion. Capture : zataz.com
Jugement, le 15 mai
Après deux jours d’audience, la décision a été mise en délibéré et sera rendue le 15 mai 2023. Les réquisitions contre les deux prévenus s’élèvent à trois ans de prison, dont deux avec sursis. L’affaire a coûté cher à l’administration fiscale, qui a chiffré son préjudice à plus de 225 000 euros, représentant le salaire des 2 620 heures travaillées pour résoudre la crise et les 20 000 euros de préjudice moral demandés.
Les activités menées par les deux suspects sur les marchés noirs ont été minimisées par l’un d’eux, qui les a décrites comme un simple « brainstorming », bien que les enquêteurs aient découvert des tentatives de vente de faux certificats et de hameçonnage de clients de banques. L’un des prévenus a également expliqué que l’élément déclencheur de leur comportement était l’ennui.
Ce piratage de comptes est un grand classique, malheureusement. ZATAZ vous en parle depuis des années. Et l’affaire Vinted, en est un autre exemple concret.
Une histoire de combos
217 000 comptes par ici ; 982 000 comptes par là. Je vous expliquais, il y a déjà deux ans, comment j’avais découvert un pirate informatique « presque » pas comme les autres. J’avoue que sa passion est assez limitée. Sa collection se base que sur deux éléments : les mails et les mots de passe appartenant à des comptes en .fr. Comme le montre ma capture écran ci-dessous, il adore afficher ses prises au moment de leur vente ! J’ai « caviardé » le nom des entreprises pouvant apparaître. Evitons d’attirer d’autres malveillants sur ce cas.
67% de comptes jamais piratés
Cet homme, qui indiquait avoir une trentaine d’année a déjà pu mettre en vente, exactement, 4 713 925. Un chiffre très précis, et pour cause. Un mois aprés chaque vente, il met à disposition, dans son cercle d’initiés, les fichiers. Des combos qui, aprés analyse, regroupent 67% de comptes jamais croisés auparavant. Mais qui sont ces gens piégés aussi facilement ? Vous, moi, vos voisins, vos cousins, vos collègues ! Ce pirate Russe ne ferait que dans le phishing !
Les données vendues sont utilisées dans des attaques de masse. Les cyber criminels recherchent, grâce à ces combos, des accès, via ces informations de connexion. Ils tentent de se connecter à d’autres contenus facilement exploitable (accès courriels, accès réseaux sociaux, accès sites web …). Vinted, les impôts, votre resto …
57 000€ en 10 mois
Bilan, avoir un mot de passe et un mail unique pour chaque site utilisé semble indispensable pour ne pas finir sous les coups malveillants. Seulement, qui le fait vraiment ? Pas ces 4 millions de français, ça c’est sûr ! Pourquoi ce pirate n’utilise-t-il pas lui même ses pêches miraculeuses ? Rien n’indique qu’il ne le fait pas. Chose est certaine, il préfère commercialiser 10 fois un combo 100 $ (moyenne des prix et de vente constatés par document). Cela fait tout de même 1.000€ le combo x les 57 vendus depuis novembre 2020. Je vous laisse faire le calcule. Cela laisse de quoi voir venir la neige (spoile : 57.000€ en 10 mois).
![NinjaOne](https://www.zataz.com/wp-content/uploads/NinjaOne.gif.gif")
