Piratage : TF1 et ViaPresse communique sur le vol de 1,9 million de données clients

Nous révélions vendredi 2 janvier, en partenariat avec RTL, le piratage d’un espace commercial proposé par le site Internet TF1.fr. La première chaîne de télévision européenne a souhaité répondre par communiqué de presse.

« TF1 a référencé sur son portail un partenaire commercial qui propose des abonnements presse à ses clients. Le site proposant ces abonnements, bien que référencé sous l’URL de tf1.fr, est placé sous le contrôle exclusif de ce partenaire et ce indépendamment de la gestion du site tf1.fr par les équipes de TF1.

Hier, ce partenaire a été victime d’une attaque informatique. Il a pris en charge l’incident dès sa détection en liaison avec les équipes de eTF1, qui ont supprimé les accès à ce site. A aucun moment, les données des internautes inscrits à TF1.fr et gérées par TF1 n’ont été exposées, ni piratées. »

#tf1 précise comm' presse "A aucun moment, les données des internautes inscrits à TF1.fr & gérées par TF1 n’ont été exposées, ni piratées."

— Damien Bancal (@Damien_Bancal) January 3, 2015

Pour ViaPresse : « Des pirates informatiques ont affirmé avoir dérobé des données clients sur le site
abonnement-presse.tf1.fr. Le site est entièrement géré et hébergé par la société Viapresse SA qui a immédiatement corrigé la faille technique.

Le kiosque abonnement TF1
Créé en 2008 par Viapresse en partenariat avec TF1, le kiosque propose aux internautes de s’abonner à des magazines à tarif préférentiel. Depuis sa création, 6500 clients ont souscrit à l’offre du kiosque abonnement tf1.

Quelles données sont concernées ?
Viapresse précise qu’il ne s’agit en aucun cas des données bancaires des clients du kiosque presse TF1. En effet, Viapresse ne stocke pas et n’a pas accès aux données des cartes bancaires ; les transactions étant effectuées depuis les plateformes sécurisées mise à disposition par les banques. Quant aux abonnements réglés par prélèvement, Viapresse précise que les RIB de ces clients sont stockés dans une base de données cryptée non accessible.

Les données concernées sont : l’identité du client, adresse, email et mot de passe.
Les pirates affirment détenir des RIB Les RIB détenus par les pirates appartiennent à des prestataires de Viapresse et non à des clients du kiosque presse tf1« .

Importante précision effectivement. Heureusement que le protocole d’alerte de zataz a permis de « détecter » cette attaque. A noter que les internautes allant sur le site de TF1 ne sont pas censés savoir qu’ils sont en fait chez un partenaire extérieur, ViaPresse. « Faire appel à la sous-traitance n’enlève en rien la responsabilité de s’assurer des – process de sécu – de celle-ci et des risques » souligne Frédéric Gouth, consultant en sécurité informatique, membre du CLUSIR Aquitaine. Il existe même un ISO (6.2.1) à ce sujet baptisé « Identification des risques liés à des parties externes« . Sans parler de la loi informatique et liberté (CNIL, ndr) et ses articles 34 et 35. Étonnant, les deux iSQL ont permis l’accès à la base de données (BDD) de Viapresse, via TF1.fr, BDD qui comportait donc des données (RIB) appartenant à des prestataires Viapresse ! Voilà des « liens » particulièrement malencontreux pour la sécurité et la vie privée des clients.

.@Damien_Bancal Faire appel à la sous-traitance n'enlève en rien la responsabilité de s'assurer des process de sécu de celle-ci & des risks

— Frederic GOUTH (@FredGOUTH) January 3, 2015

Une seconde faille corrigée

Plus inquiétant encore, nous avons dû alerter ce samedi matin la direction technique de TF1 pour une seconde faille, ouvrant elle aussi sur une base de données. D’après les informations de zataz.com, des données de cartes bancaires [heureusement, non complètes, ndr], identités, IP, numéro de transaction, dates. A noter que les informations que nous avons pu lire dataient de 2008. Soit un temps de stockage qui nous parait très long, 7 ans ! Espérons que les pirates n’ont pas atteint les données du « partenaire » de 2014. Pourquoi cette crainte ? Les pirates, avant de repartir ont précisé qu’il y avait « 4 061 032 logs contenant des cartes » dans les données qu’ils étaient en train de télécharger. TF1 a préféré faire fermer, ce samedi, l’accès à cette boutique. Pour les « techniciens », les deux failles étaient les suivantes [Je peux les montrer, elles ont été corrigées, ndr] : http://abonnement-presse.tf1.fr/magazine/abonnement.asp?idtitre=%27 et http://abonnement-presse.tf1.fr/magazine/detail.asp?idTitre=1688%27.

La faille apparaissait via une simple erreur dans l’url.

Inquiétant, dans un article paru dans le Figaro, ViaPresse indique que les RIB qu’annoncent posséder les pirates, auraient été volés à d’autres « partenaires ». Voilà qui en fait des fuites, via deux SQLi. Ci-dessous, la capture communiquée par les pirates [J’ai caché les informations sensibles comme l’IP, l’identité et ce qui semble être des données bancaires non cachées par des croix.

Les deux membres du groupe LinkerSquad affirment sur Twitter que les mots de passe qu’ils ont subtilisés servent aussi d’accès aux comptes utilisateurs du site de TF1. Pour le prouver, ils ont diffusé des accès de membres du site de la chaîne privée. Autant dire que nous vous conseillons fortement de changer votre mot de passe si vous êtes des abonnés à ce portail.

Qui sont ces pirates ?

Assurément jeunes, avec l’envie de faire parler d’eux, de montrer qu’ils sont capables de taper sur les grands de l’Internet. Ils ne cachent pas le fait qu’ils revendront les données qu’ils ont pu voler. A qui ? Les choix sont multiples. Le Black Market (Commerce de données piratées, ndr) reforge de possibilités d’acquéreurs de ce genre d’informations. Les mails, pour un phishing. Les IP, pour tenter d’infiltrer les ordinateurs. Les numéros de téléphones fixes ou mobiles pour des arnaques diverses et variées. Bref, de quoi enrichir les nouveaux escrocs du numériques. Nous avons demandé à ces « flibustiers » 2.0 si la crainte de la justice n’était pas un frein à leurs actions ? « Non, nous n’avons pas peur de la justice étant donné que nous nous sommes déjà fait arrêter dans le passé. Avant de recommencer tout ça nous nous sommes posés les bonnes questions et nous avons décidé que nous étions prêts. » Vous avez dit inconscient ? Si ces derniers résident sur le territoire Français, ils risquent 5 ans de prison et 350.000€ d’amende.

Pour rappel…

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226-17 du code pénal) ; Les données personnelles ont une date de péremption. Garder des fichiers plus d’un an n’est pas pensable. Pour rappel, la CNIL indique que le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

Pour finir, seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal.