Piratage chez Bureau Vallée

La boutique « Bureau Vallée » vient d’alerter ses clients du passage d’un pirate informatique dans son espace de paiement en ligne. Une cyberattaque qui ressemble à celle vécue par EasyJet ou encore TicketMaster.

C’est dans une communication de crise rondement menée que l’enseigne « Bureau Vallée » a alerté ses clients du passage d’un pirate informatique dans les données l’entreprise. « Nous avons souhaité vous écrire au sujet d’un incident récent de cybersécurité chez Bureau Vallée. La période actuelle de crise sanitaire a vu le nombre de cyberattaques exploser. Nous n’avons malheureusement pas été épargnés. » Autant dire que le « nous avons souhaité » a bon dos ! Ils n’ont pas le choix. Le RGPD impose une communication à l’intention des clients en cas de la perte de données personnelles. Et le piratage en fait parti !

Le 25 mai dernier, l’entreprise a été la cible d’une « attaque hautement sophistiquée sur notre site web ». Les premiers résultats de l’enquête ont révélé que cette action malveillante a concerné le système de paiement en ligne auquel notre site internet a recours et a conduit à la mise en place frauduleuse d’un système de duplication des informations des cartes bancaires au moment d’un achat depuis notre site.

Exfiltration pirate qui aurait durée 2 mois

Cela ressemble fortement à l’attaque EasyJet, Ticketmaster, ou encore cette faille révélée en 2018 qui permettait (et qui permet encore dans certains cas, NDR) à un pirate de se coller à une boutique légitime. Je vous montrais une technique de ce type qu’auraient pu exploiter des pirates sur des dizaines de boutiques Francophones, en 2018.

Les équipes techniques et les prestataires en charge de l’administration du site de Bureau Vallée et de la solution de paiement en ligne ont supprimé le système de duplication des cartes bancaires, mis en maintenance le site et suspendu l’ensemble des accès au site y compris les comptes administrateurs, modifié tous les mots de passe des administrateurs du backoffice, vérifié l’ensemble des comptes existants et ont renforcé les mesures d’authentification. Bref, un gros, trés gros nettoyage !

Tout client ayant passé commande sur le site internet pendant la période du 26 mars au 26 mai 2020 est potentiellement concerné par cet accès frauduleux à ses données bancaires. Nous vous invitons donc à vérifier vos paiements par cartes bancaires. Dans le cas de détections de transactions anormales et injustifiées, nous vous invitons à vous rapprocher de votre banque qui prendra les mesures nécessaires et qui reste compétente en cas de transaction frauduleuse.

Autant dire que chaque client doit IMPÉRATIVEMENT veiller sur son compte bancaire. Si derrière ces attaques se cachent encore des membres du groupe Joker’s, pardon du terme, mais vous êtes dans la merde !

Big Badaboom !

Pourquoi penser qu’un groupe de type Joker’s peut se cacher derrière cette attaque ? Les cibles et la méthode qu’annoncent les victimes. Se coller à la boutique et cloner les données rentrées par les clients légitimes.

En janvier 2020, je vous expliquais comment le groupe pirate « Jocker Stash » (Fin7) avait commencé à diffuser 30 millions de données bancaires volées l’enseigne Wawa Inc., une chaîne de stations essence/garagistes basée dans l’état de Pennsylvanie (USA). L’américain alertait les autorités et ses clients du piratage de ses systèmes de traitement des cartes de paiement. L’ensemble des sites de Wawa Inc impactés. Un logiciel avait ponctionné toutes les données bancaires des clients durant 9 mois.