Fuite de données eBay ? Cela vous étonne encore !

Mercredi, eBay a invité ses utilisateurs à modifier leur mot de passe afin de protéger, mais c’est un peu tard, leurs informations personnelles enregistrées dans les serveurs de la boutique en ligne.

D’après l’entreprise américaine, une intrusion aurait été détectée. Une attaque qui aurait débuté en février dernier. Noms, adresses, mots de passe, numéros de téléphone, mais pas de données bancaires. Il faut dire aussi que Paypal, la tirelire d’eBay, n’a pas les mêmes serveurs. Les conséquences semblent être mesurées pour les utilisateurs ? eBay indique n’avoir aucune preuve pointant vers le vol d’informations financières. Malheureusement détrompez-vous. Un pirate informatique, spécialisé dans la constitution et revente de données a de quoi faire de gros dégâts dans les rangs des potentiels clients ponctionnés. Nous nous demandons si cette « alerte » n’est pas la résultante de l’arrestation massive de pirates informatiques, voilà quelques jours. Est-ce que les disques durs des pirates, un bon millier, ont parlé ? Pour rappel, ils utilisaient des logiciels d’espionnages. Pour eBay,  les pirates ont attaqué des salariés, ce qui a permis de voler des identifiants internes permettant d’accéder aux informations des utilisateurs d’eBay.

Pas de CB, mais ta vie privée

Voler noms, mots de passe cryptés, adresses mail, dates de naissance, adresses postales et numéros de téléphone. Voilà qui vaut tout l’or du monde pour le malveillant sachant s’en servir. La rédaction de zataz.com va vous expliquer comment, via ces quelques informations, il est possible pour un pirate d’en retirer de la monnaie sonnante et trébuchante. D’abord l’identité attenante à un « pseudo ». Un escroc peut parfaitement, dorénavant, suivre un client à la trace sur eBay et mettre en place un plan d’usurpation d’identité ayant pour finalité de fausses ventes. Les scammeurs (qu’ils soient nigérians, ivoiriens, Belges ou français, ndr) se revendent les potentielles victimes entre 5 et 50 dollars US. Ne vous étonnez pas, si vous êtes clients eBay (ou autres sites ayant été piraté, ayant fuité, ndr), de recevoir ensuite ce type de courriel ci-dessous.

phishing

Le numéro de téléphone, qu’il soit portable ou fixe, une nouvelle denrée très recherchée. Le fixe, certains phisheurs, adeptes du voice phishing, n’hésitent pas à appeler au téléphone leurs potentielles victimes en se faisant passer pour une banque, les impôts, … et tenter d’intercepter les données des cartes bleues fournies par les interlocuteurs ainsi hameçonnés. Pour le téléphone portable, d’autant plus si ce dernier est un smartphone, les numéros pourront permettre d’envoyer, en masse, des liens malveillants, dans de jolie MMS colorés, sexy ou divers. En quelques clics et inattention et le téléphone peut être plombé par une application espionne. L’adresse postale ? Certains arnaqueurs se font livrer des produits acquis via des CB piratées. Une adresse postale bien située pourrait permettre à des escrocs de se faire livrer des produits qu’ils n’auraient qu’à récupérer de la maniérè la plus fine… ou non !

La meilleure protection… l’attaque ?

Dans ce genre de fuite de données, et vous savez si vous êtes des fideles de zataz.com et data security breach qu’elles sont légions, difficile pour nous consommateurs, utilisateurs, internautes, de nous en protéger tant les sites web sont avides de nos données. Que faire alors ? Il est clairement conseillé aujourd’hui de réfléchir non pas à deux fois, mais à dix, l’intéret que vous avez de vous inscrire sur tel ou tel service, tel ou tel service numérique. Certes refuser de données ses informations à un FAI, à un opérateur téléphonique, voir à eBay limitera très fortement votre vie 2.0 est ces ici que la reflexion doit se faire. Dois-je dorénavant fournir TOUTES mes vraies infos ? On me réclame un numéro de téléphone, vais-je devoir m’acheter une carte sim pré-payée qui ne servira qu’à fournir un numéro de téléphone à une structure non sensible ? On me réclame une adresse postale, vais-je devoir tout me faire envoyer en boite postale ou poste restante ? Et ce n’est pas des structures comme la CNIL qui pourront nous protéger sérieusement. Ce n’est pas en virant un patron, comme le cas de celui de Target, que les fuites cesseront. L’enseigne américaine de grande distribution avait fait parler d’elle lors de la vaste cyber-attaque dont elle a été victime en janvier 2014. Près de 40 millions de cartes bancaires avaient été copiées et quelques 70 millions d’autres données personnelles volées.

Et demain ? J’ai malheureusement l’impression que demain ne sera pas mieux, du moins pour les constellations de cyber boutiques qui sortent de terre. Pour nous utilisateurs, une réflexion sur l’utilisation de nos données sur la toile est clairement à mettre sur la table. Après tout, nous ne jetons pas nos chéquiers, nos journaux intimes, nos photos de familles dans la rue… Pourquoi le faire sur Internet ?

Mot de passe, passe le mot

Une enquête de F-Secure démontre que les mots de passe demeurent un problème même pour les personnes habituées aux nouvelles technologies. Dans ce sondage réalisé sur les réseaux sociaux, 43% des sondés déclarent utiliser le même mot de passe pour plusieurs comptes importants – ce qui est tout bonnement l’erreur à ne pas commettre. 58% des personnes interrogées ont plus de 20 comptes en ligne protégés par mot de passe, voire même plus. 27% d’entre eux possèdent entre 11 et 20 mots de passe pour protéger l’ensemble de leurs comptes. Enfin 15% des utilisateurs en ont seulement une dizaine. Parmi les possesseurs de ces grands nombres de comptes et de mots de passe, seuls 40% utilisent un gestionnaire de mot de passe pour garder une trace de tous ces identifiants.

Fait encourageant, 57% des personnes interrogées ont changé leurs mots de passe après avoir entendu parler de la faille Heartbleed. De toutes les mauvaises habitudes concernant la création d’un mot de passe, la plus courante est celle d’utiliser le nom d’un membre de sa famille. Une autre mauvaise habitude, malheureusement très fréquente,  est d’utiliser le nom de son animal de compagnie, suivi de très près par l’utilisation de mots de passe génériques comme « Mot de passe » ou « 123456 ».

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Michel Roussin Reply

    relayé sur linkedin
    je recois depuis peu bien que n’étant pas sur ebay ce messge avec qques variantes origine .ru

    d’autres sites « prestigieux » touchés?
    Michel

  2. Mickaël LENOURY Reply

    Pas de piratage des cb.. ça m’étonnerait un peu ..

  3. Snorrise Reply

    D’autant plus que les emails/mdps eBay peuvent etre les memes que ceux de PayPal…

  4. Pingback: Besoin urgent d’étendre les lois obligatoires sur les fuites de données | Data Security Breach

  5. Pingback: ZATAZ Magazine » Porte cachée pirate dans eBay

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.