Rétro cybersécurité 2017 – Une année de fuites de données

C’est de tradition à chaque fin d’année, une rétrospective cybersécurité des mois passés. Cette année 2017, ZATAZ va vous parler… fuites d’informations. Cette idée de rétrospective m’est venue en regardant « Le Bon, la Brute et le Truand« . Parmi les nombreuses phrases cultes de ce film de Sergio Leone de 1966, celle de Blondin (Clint Eastwood, le bon) à destination de Tuco (Eli Wallach, le truand) : « Tu vois, le monde se divise en deux catégories, ceux qui ont un pistolet chargé et ceux qui creusent. Toi tu creuses. » Une phrase qui pourrait être gravée sur les données de millions de Français à s’être fait pillés leurs « vie numérique » en 2017.

Rétro cybersécurité 2017 – Vous avez entendu parler de fuites de données, de piratages informatiques en 2017 ? Des problèmes ayant visé les États-Unis. A croire que dannos contrées sont préservées face aux pirates et autres bugs. ZATAZ va vous démontrer l’énorme appétit des pirates informatiques à l’encontre de vos données. En 365 jours, plus de 7.000 fuites ont été constatée par le Protocole d’Alerte ZATAZ. Mis bout-à-bout, plusieurs milliards de données de francophones sont dans les mains de pirates. Des informations allant des identités (pseudos, noms de famille, …), en passant par des données bancaires, des informations médicales ou des numéros de téléphones portables.

Parmi les 7133 fuites gérées bénévolement par le Protocole d’alerte de ZATAZ, le plus « grave » aura concerné un espace médical avec des données de santé appartenant à des patients. La plus « bling-bling », un important diamantaire parisien. La plus « gênante » concernait un site dédié aux échangistes.

« Je vais dormir tranquille parce que je sais maintenant que mon pire ennemi veille sur moi » – Blondin / Il buono, il brutto, il cattivo

2 janvier 2017 – 3200€ d’amende pour la société “The Cellar Door”. Des données clients retrouvées sur Pastebin. Vous êtes amateurs de cartes de collection de Star wars, UFC, baseball, … de la marque Topps ? Vérifiez votre compte bancaire, l’entreprise confirme son piratage. 5 janvier – Le Bureau de la consommation et de la réglementation des entreprises met en ligne ses archives dédiées aux notifications des violations de données. Un pirate écume la toile à la recherche de bases de données MongoDB Accessibles et prend en otage les contenus. Des milliers de données appartenant à des personnels du Pentagone fuitent sur Internet via un logiciel proposé par l’ancien employeur de Snowden. Certains fichiers sont signés Top Secret Security.

10 janvier – La société Geek Squad infiltrée par le FBI. L’agence fédérale paie des employés de cette entreprise de réparation d’ordinateur pour fouiller dans les machines des particuliers.

12 janvier – Chantage informatique dans les écoles. Un pirate réclame plus de 9 000 euros à plusieurs écoles après avoir verrouillé les données sauvegardées dans les ordinateurs des établissements.

16 janvier – Des dizaines d’écoles du Bordelais prises en otage par un escroc du web. Un site Internet spécialisé dans la vente de service autour des actes de naissance laissait accessible les informations des demandeurs. La CNIL les condamnera 9 mois plus tard. Étonnante liste d’informations de 160 pages concernant des clients Zalando. Phishing ? Vol ? Fuite de données ?

20 janvier – Le jeu vidéo Clash of Clans a subi une attaque informatique d’envergure qui aurait permis à un pirate de mettre la main sur des données sensibles. Anonymous s’est attaqué au Forum économique mondial en piratant plusieurs espaces. Plusieurs milliers de données volées et diffusées. L’Entertainment Association E-Sports (ESEA) face à une extorsion lancée par un pirate informatique. L’escroc diffuse une base de données contenant 1,5 million de profils de joueurs.

24 janvier – Les fuites de données peuvent prendre bien des visages à l’image de celle du site du magicien Eric Antoine. Un bug permettait d’accéder à certaines informations des voyageurs ayant acquis des e-billets de la SNCF. Plus vite qu’un TGV, l’équipe sécurité du CERT SNCF a colmaté ce déraillement 2.0.

25 janvier – Le site Internet Pôle Emploi Jeune piraté. Des pirates ont fait main basse sur la base de données du portail.

« Je préfère vous prévenir, attention où vous mettez les pieds. – Je mets les pieds où je veux Little John, et c’est souvent dans la gueule«  – Chuck Noris / Delta Force

01 février 2017 – Un pirate informatique met en vente plusieurs bases de données piratées appartenant à une dizaine d’importants sites web. Des millions de données pour quelques dollars.

10 février – Huit personnes jugés pour avoir piraté des bébés. Mission des voleurs, mettre la main sur les informations de plus de 500 000 nouveaux nés pour les revendre.

14 février – Un employé privé qui agissait pour la NSA et d’autres agences de renseignements avait entreposé chez lui plus de 500 millions de documents appartenant aux espions de l’Oncle Sam. Il risque d’écoper de 200 ans de prison ferme.

23 février – Deux vieux serveurs non débranchés chez OVH ont été utilisés par un pirate informatique. Une vieille base de données compromise !

« Tous ces moments se perdront dans l’oubli, comme…les larmes dans la pluie…«  Rutger Hauer – Replicants

02 mars 2017 – La CNIL Britannique condamne à 200 000£ une société spécialisée dans la mise en relation patient/médecin à la suite d’une fuite de données.

09 mars – Une alerte concernant une faille visant Apache Struts touche plus de 29 millions de serveurs selon un simple dork Google. Plus de 200 espaces Français concernés.

24 mars – La chaîne de magasins-dépôts Bricoman proposant produits et matériel de bricolage et location de véhicules de livraison corrige une fuite de données clients. Les factures accessibles d’un simple clic de souris.

La Commission Informatique et des Libertés fait corriger une fuite de données concernant le spécialiste de la vente d’électroménager Darty.

Le site Internet America’s Job Link Alliance infiltré. Le pirate a mis la main sur 4,8 millions de dossiers de demandeurs d’emploi.

« Ça, une gueule de guerrier ? » R. Lee Ermey / Full Metal Jacket

07 avril 2017 – Accès aux tickets, consultation des factures clients : le site des 24 heures du Mans vient de boucher une fuite de données.

19 avril – Le site Internet du Crédit Municipal de Boulogne-sur-Mer piraté dans la nuit du 16 avril. Derrière l’acte malveillant, le déclenchement de plusieurs actions plus dangereuses encore.

26 avril – La chaîne de restaurants rapide Chipotle Mexican Grill confirme enquêter sur le piratage de données bancaires et de son système de paiement.

« You’re Talkin’ to me ? ‘Cause I’m the Only One Here ! » De Niro / Taxi Driver

04 mai 2017 – Des factures de clients EDF accessibles sur un espace officiel du géant de l’énergie Français. Bienvenue dans le monde merveille de l’automatisation de nos vies ! Le portail Internet Leakbase, spécialisé dans la collecte d’informations piratées par d’autres, se retrouve lui même dans les mains de pirates informatiques. Des données clients diffusées.

16 mai – Des millions de données appartenant à l’opérateur Bell Canada ont été piratées. Plusieurs millions de mails clients piratés.

17 mai – Les fuites de données peuvent prendre de multitude de formes. Le parc du Puy du fou corrige un problème qui permettait d’accéder aux photos des clients. Un cabinet d’avocats Parisien écrit à la presse pour tenter de s’attirer les interviews au sujet de la CNIL et de la condamnation de Facebook. Petit problème, il affiche plus de 400 mails dans sa missive.

29 mai – Piratage : Plus de 1500 caméras de vidéo surveillance d’entreprises Françaises infiltrées par un pirate informatique. Il a signé son forfait “Heil Hitler” sur les écrans de contrôle.

« J’ai été interrogé par un employé du recensement. J’ai dégusté son foie avec des fèves au beurre, et un excellent chianti. » Anthony Hopkins – Silence des agneaux

07 Juin 2017 – Une boutique du darknet propose pour plus de 350 euros une base de données qui est annoncée appartenir à la Fédération Française de Football. Le vendeur annonce plus d’un million de données collectées

7 juillet 2017 – Le magazine Vocable permet d’apprendre l’Anglais, L’Allemand ou encore l’Espagnol par le biais de ses services. L’entreprise vient de corriger une importante fuite de données clients concernant plus de 17.000 personnes.

13 juillet – 14 millions de données clients de la société Verizon, et des informations concernant la France sauvegardées sans protection !

26 juillet – OuiCar rappelée à l’ordre par la CNIL à la suite d’un Protocole d’alerte ZATAZ.

30 juillet – La CNIL met à l’amende, après un Protocole ZATAZ, la société Hertz France. 40.000€ !

31 juillet – La CNIL est intervenue pour faire disparaitre d’Internet une fuite concernant les données de 500 000 participants à un jeu proposé par l’entreprise de grande distribution Grand Frais. Plusieurs centaines de comptes appartenant à des utilisateurs de withings.com diffusées dans des repères de pirates.

« Le méchant ne peut pas gagner, c’est un conte moral. Il doit mourir à la fin, d’une façon ou d’une autre. » Opération Espadon

3 août – Au moins 400 000 clients impactés par cette cyberattaque. Des données clients de la compagnie aérienne WestJet interceptées et diffusées par des pirates informatiques. A l’occasion de son grand jeu footballistique, Conforama a du corriger d’urgence les tablettes mises à disposition dans l’ensemble des magasins de l’enseigne.

20 août – Orange et SFR corrigent la faille du WPS. Une faille concernant plusieurs millions de box SFR et Orange.

25 août – Un pirate informatique a diffusé sur le web un extrait d’une base de données volée au quotidien à La Dépêche du Midi. La CNIL alertée par un Protocole d’Alerte ZATAZ fait colmater une fuite que la société Optical Center.

27 août – Plusieurs espaces Numericable ont pu être visités par des pirates informatiques. La filiale location du groupe Système U corrige une fuite de données concernant ses clients loueurs de véhicule.

31 août – L’Assurance, Mutuelle et Banque Macif vient de boucher un accès aux données concernant des centaines de clients et leur déclaration de sinistre. L’équipe informatique de l’Université Lyon 2 a corrigé un problème. Il était possible de consulter et modifier les données de certains étudiants.

« J’vais pas te tuer…, J’vais juste te faire mal…, Super… super… mal. » Suicid Squad

15 septembre 2017 – Fuite de données pour la société de transport Flixbus. Il est possible d’accéder à certaines informations de millions de passagers de l’entreprise de transport. Après la correction d’une fuite de données, sans grand conséquence pour le public, sur le site web TER Grand EST, la SNCF décide de fermer le portail. Tout n’avait pas été corrigé ! Le plus grave était encore accessible.

24 septembre – Escroquerie sur le web aux couleurs d’Interpol. Un escroc tentait de voler de l’argent à des internautes en détresse sur le web. ZATAZ met la main sur son adresse malveillante : cellule-anti-criminalite.com.

25 septembre – A la suite de la découverte d’une fuite de données concernant des usagers de l’Aide Alimentaire, la Croix-Rouge ferme le temps de la correction son espace web AIDA.

« Ça va faire trois quart d’heure qu’il a la tête dans ses spaghettis« . Seven

16 novembre 2017 – Le professionnel des ascenseurs OTIS fait fuiter les mails de ses clients. Mairie et fuite de données : la Ville de Laval fait le ménage.

22 novembre – Faille de sécurité chez AliExpress : 100 millions de clients impactés. Des escrocs se font passer pour le programme Erasmus et extorque des centaines d’euros à des étudiants piégés. Repérés dans une boutique du black market, des dizaines de comptes Sushi shop à vendre.

30 novembre – La société Digitec annonce une fuite de données qui aura durée… 13 ans.

« Bonjour Professeur Falken. Que diriez-vous d’une petite partie d’échecs ? » Joshua – Wargames

13 décembre – Un étrange concours dédié aux lycéens propose aux comités des parents d’élèves et proviseurs de lycées français de faire gagner 12 000€ à un élève. Achtung, ça sent l’arnaque à plein nez. Deux sites web spécialisés dans les salons militaires infiltrés par des pirates informatiques. Le Protocole ZATAZ fait intervenir l’ANSSI pour faire corriger l’infiltration.

14 décembre – Plusieurs internautes ont alerté ZATAZ à la suite d’un courrier envoyé par la boutique LDLC. Il leur est conseillé de changer leur mot de passe après la découverte d’une fuite de données. Les ordinateurs mis à disposition par Ryan Air dans les aéroports sont-ils sécurisés ? Un exemple vécu à l’aéroport de Beauvais. 21 décembre – Des centaines d’internautes se plaignent du piratage de leurs données bancaires signé par un mystérieux Zimaotong.