Previous Story
Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données
Posted On 02 Jan 2015
Voilà qui commence mal l’année. Un groupe de pirates du nom de Linker Squad prouve à zataz.com le piratage de l’espace « Magazines » du site Internet de TF1. Les pirates parlent de 1,9 million de clients dorénavant dans leurs mains.
Le piratage informatique n’est malheureusement pas qu’une « histoire » de pirates Nord Coréens, d’espion américain parti avec la caisse (et des ordinateurs portables, ndr) ou encore de vilaines entreprises visant les intérêts économiques de concurrents. Non, malheureusement, la grande majorité des piratages sont orchestrés par des internautes comme vous et moi, souvent jeunes. Ils sont motivés par l’argent, dans la plupart des cas. Le défit est devenu assez secondaire tant les fuites et les failles pullulent sur la toile. Tellement simple, aujourd’hui, avec quelques logiciels de taper dans des bases de données et d’en extirper les contenus.
1 902 987 utilisateurs piratés ?
J’ai été contacté, voilà quelques jours, par un groupe de pirates informatiques qui signe ses actes sous le pseudonyme de Linker Squad. « Notre but est de défier les société victimes de nos piratages, qu’ils se rendent compte de leurs erreurs. » Dernier cas en date que nous pouvons révéler, le site de TF1 et plus précisément son espace « magazines ». Une boutique en ligne qui permet d’acquérir des journaux, de s’abonner via le « Accueil service abonnement TF1 » au Point, aux Inrockuptibles, Time magazine, … Contacté, l’équipe informatique de TF1 aura été très rapide à répondre. La faille, corrigée dans l’heure. « En fait il s’agit d’un service géré par un tiers« , a confirmé la Direction Technique eTF1.
Les pirates ont diffusé plusieurs preuves : mots de passe, mails, …
Les informations que j’ai reçu des pirates, sous forme de captures écrans qu’ils ont caché sur la toile, ne laissent rien présager de bon « Les bdd sont des mine d’or, souligne le groupe de pirates. Les données que nous détenons (…) seront sûrement revendues« . Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés). Selon les dires des « visiteurs » des données bancaires, sous forme de RIB auraient aussi été ponctionnées. « Sur les « moyens de paiement », souligne TF1, les informations sont cryptées.«
Plus inquiétant encore, certains mots de passe récupérés par les pirates ont permis à ces derniers d’accéder à des comptes mails de clients. Les clients ayant utilisé le même « précieux » pour leur compte TF1 et leur webmail. J’ai contacté plusieurs de ces adresses, l’un d’eux m’a indiqué que son mot de passe [que j’ai lu dans l’une des captures écrans des pirates, NDLR] était « inutilisé depuis plusieurs années« . Fait confirmant définitivement ce piratage.
… et nous ne sommes que le 2 janvier !
Les pirates, sur le sol Français, risquent jusqu’à 5 ans de prison ferme et 350.000 € d’amende.
Mise à jour : TF1 a communiqué sur le sujet. Nous en profitons pour faire corriger une seconde fuite.
« vol de 1.9 million de données » Je savais pas que la données était une unité de mesure 🙂
Encore un système qui a du être construit par un développeur tout droit sorti d’une grande école d’informatique, avec le beau diplôme, mais qui dans la pratique ne sait pas sécuriser les données des utilisateurs…
dans les grandes école on apprend à crypter les mots de passe de manière non réversible (et ni en MD5 ou en sha1) 🙂
Des mots en clair en 2015 ça doit-être interdit
Ouais ou encore un grand chef de projet qui comprend rien à la technique et laisse ses équipes tout faire avec les pieds. Dans tous les cas dire que c’est la faute d’un petit développeur me semble insensé, c’est pas lui qui est responsable des données de son entreprise. Les audits en sécurité web ça existe mais tout le monde pense que ça ne sert à rien…
Je suis client viapresse (le prestataire de TF1), et j’avais pu constater leur légèreté et leur incompétence en termes de sécurité informatique (et pas seulement) puisque, suite à des difficultés de mise à jour, ils m’avaient envoyé mon mot de passe en clair… par mail ! Des champions du monde. C’était il a tout juste 6 semaines.
Et que risque la société pour avoir mis en danger les données de ses clients (notamment en stockant les mots de passe en clair) ?
Concernant ce site, la désactivation du clic droit est très embêtante. Je ne peux même pas utiliser mon correcteur d’orthographe. Pas possible de faire un clic droit pour ouvrir dans un nouvel onglet. C’est une très mauvaise pratique. Si vous y tenez, désactivez au moins quand rien n’est sélectionné.