Fuites de données pour une mutuelle française

Posted On 29 Juil 2022

Le journal Libération, par le biais de son équipe CheckNews, découvre une fuite visant une mutuelle française. ZATAZ avait alerté l’entreprise dès le mois d’avril 2022.

Deux fuites, en quelques mois, voilà le sérieux problème vécu par une mutuelle française basée dans le sud de la France. Le journal Libération, via son équipe CheckNews, révèle comment ce professionnel de santé s’est retrouvé avec une plaie béante dans les informations de ses administrés.

Deux bases de données et autour de 80 000 clients dans les mains des pirates. Une fuite de données, encore, souligneront un grand nombre d’internautes. Dans ce cas, la société avait été alertée par le Protocole d’alerte ZATAZ, dès avril 2022.

Lors d’une veille classique, ZATAZ avait repéré la vente d’une base de données au nom de la mutuelle. Le pirate, il signe sous le pseudonyme d’un personnage tiré des légendes d’Arthur, et de la série télévisée Kaameloott.

Chevalier noir

Dès le 12 avril 2022, ce chevalier noir va proposer à la vente, pour moins de 10€ « 661 000 lignes d’une base de données complète, comprenant environ 80 000 courriels » (traduction du texte en anglais du pirate). Le black hat explique être l’auteur du vol. Une base de données aux colonnes « intéressantes » explique-t-il dans son marketing de la malveillance : annuaire, adhérents santé, message client …

Alertée le 14 avril 2022, puis le 5 mai 2022, la mutuelle va enfin me répondre le 6 mai 2022, par le biais de son DPO : « Nous avons en effet reçu votre mail, mais vous comprendrez que pour une question de sécurité, et ne vous connaissant pas, nous n’avons pas ouvert votre lien. Vous avez alerté l’ANSSI qui nous a contacté, nous leur avons répondu la même chose. Une fuite de données a été bien été détectée et déclarée, qui correspond à la période à laquelle vous nous avez alertés. » A noter que le lien renvoyait sur la base de données commercialisée par le pirate et que l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information avait été mise dans la boucle à la vue de la sensibilité des données volées.

Le Désordre et la nuit

Seulement, quelques semaines plus tard, l’équipe de Libération/CheckNews tombe sur une seconde fuite visant la mutuelle EMOA. Elle aurait été constituée via une faille découverte dans le site même de la société. Vulnérabilité exploitée par le chevalier noir, en avril 2022 ? Difficile de le savoir.

Alexandre Horn et Florian Gouthière, les journalistes de CheckNews, vont y croiser des informations privées, des liens, etc. Certains renvoyant sur des documents tels que des pièces d’identité, des numéros de sécurité sociale, des RIB.

Les deux journalistes vont expliquer à la mutuelle comment y accéder. A noter que dans les colonnes de CheckNews, la société revient sur mon alerte d’avril : « On a voulu s’assurer que cette personne était légitime. On a demandé à l’ANSSI, qui ne nous a pas répondu.«

Il est vrai que ZATAZ est un petit nouveau dans les lanceurs d’alertes ! Le protocole d’alerte ZATAZ « n’a » aidé bénévolement depuis son existence (+25 ans) « que » 80 000 entreprises francophones ! Pour le DPO, CheckNews et ZATAZ avait révélé, l’année derniére, la fuite massive de 500 000 données de santé [ICI] ou encore [LA] !

Where is hacker?

Qui est ce mystérieux pirate ? Un français ? Un jeune malveillant profitant de quelques failles pour se faire une signature et quelques dollars dans le milieu des pirates informatiques ? Un internaute qui fait tout pour faire « ami-ami » avec le responsable d’un forum pirate selon les conversations que j’ai pu relever.

Dès mars 2022, ce blacknaute, il signe ses messages d’une phrase tirée de la série TV Kaameloott, va orchestrer une dizaine de « vente » et/ou de « don » de données volées par lui ou par d’autres pirates. Dans ce que j’ai pu repérer : une banque Albanaise (!), des forums (dont un français de +7000 membres), des structures de santé, une boutique de jeux vidéo à Strasbourg ou encore un atelier de broderie de Villers-Cotterêts, dans l’Aine (02).

Bref, autant de plaintes qui lui planent au-dessus de la tête, comme Excalibur !

Concernant les données volées, le couperet est définitivement tombé lors de l’exfiltration pirate. Le Service Veille ZATAZ a pu repérer plus d’une cinquantaine de diffusions malveillantes différentes réparties en, au moins, quatre stockages cloud pirate différents !

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr