Piratage du service Client de DELL, l’arbre qui cache la forêt

17 millions de dollars volés à des utilisateurs d’ordinateurs DELL. Les pirates ont eu accès aux données des clients du constructeur américain d’ordinateurs.

– Ca n’arrive pas qu’aux autres – Le piratage informatique peut prendre de multiples formes. Attaquer une base de données, comme je peux vous l’expliquer depuis plus de 18 ans, n’a pas qu’un seul but, celui de mettre la main sur des données bancaires. Voler une base de données, contenant par exemples, uniquement des identités, adresses et téléphones, peut permettre à des pirates informatiques de revendre ce contenu à des escrocs. Les factures sont aussi des éléments dont raffolent les pirates. Le protocole d’alerte de ZATAZ ne cessent d’en trouver. Dernier cas en date, un participant Français au CES 2016 de Las Vegas. Un membre de la « FrenchTech » qui laisse en accès libre, sur son site web, l’intégralité des commandes, factures et documents de livraison de ses clients.

Une affaire de ce type vient de toucher les clients de la société DELL. Les pirates auraient réussi à détourner 17 millions de dollars aux clients de la firme, en se faisant passer pour cette dernière.

Arnaque téléphonique : Allô, vous avez gagné des cadeaux. #cyberdéfense http://t.co/3m4JOg2KkZ @Damien_Bancal pic.twitter.com/m4zuSxUL6Y

— ZATAZ.COM Officiel (@zataz) October 13, 2015

Comme j’ai pu vous le démontrer avec le cas Microsoft et ses faux techniciens, ou encore avec les faux choix de cadeaux offerts dans le catalogue Darty/Conforama/Auchan/FNAC, des escrocs se sont spécialisés dans les appels malveillants ciblés. D’abord, ils récupèrent des données privées appartenant à leurs cibles. Pour cela, il achètent des bases de données, par centaines, à des pirates, ou dans le blackmarket. L’année dernière, je vous confiais comment des pirates m’avaient affirmé avoir vendu une base de données appartenant à TF1/Via Presse pour quelques centaines d’euros. Pour DELL, c’est le service support qui a été visé. Une mine d’or d’informations. Une fois les données, en main, elles sont triées, classées et utilisées. Après, aux escrocs de trouver l’approche à l’encontre de leurs cibles. Pour DELL, les escrocs s’annonçaient comme des techniciens de la marque. Pour casser les craintes de leurs interlocuteurs, ils exploitaient les données trouvées dans la base de données (adresse, numéro de série de l’ordinateur…).

Sachant que certaines bases de données peuvent contenir les messages internes, je vous laisse imaginer les scénarios possibles. Le journal Ars Technica indique que 17 millions de dollars auraient été volés rien que pour les USA. Imaginez la somme à l’échelle planétaire. Des données que des pirates peuvent aussi revendre à des professionnels de la Fraude au président. Bref, un véritable coût pour les entreprises impactées.

Les animaux aussi
Je suis en train d’enquêter, en ce moment, sur une étrange fuite. Elle concerne les amis des animaux. Trois lecteurs qui ne se connaissent pas, qui vivent dans des régions différentes, ont été contactés par un mystérieux personnage. Ces lecteurs étaient propriétaires d’animaux domestiques. Dans notre cas, deux chats et un chien. « Ma compagne a eu un animal, un chat en 2005. m’explique l’une de mes interlocuteurs. Elle l’a fait pucé. Ce chat est mort écrasé et enterré par nos soins en 2006. » Il y a quelques jours, un mystérieux personnage a tenté de joindre les trois lecteurs de ZATAZ. « Aujourd’hui on vient de recevoir un appel émis d’un mobile d’un certain Alain. Il aurait trouvé un chat qui d’après son matricule appartiendrait à un Mme xxx (ancien nom de famille de ma compagne) habitant à xxxx (ancienne adresse postale) de madame« . Ce mystérieux interlocuteur recherchait, dans les trois cas, le propriétaire des animaux qu’il aurait trouvé. Des animaux pourtant morts entre 2006 et 2008. Une fuite de données pour une arnaque en cours ?