Sur un forum prisé par les pirates qui veulent signaler leurs méfaits et/ou revendre leur butin, un compte est particulièrement actif ces derniers jours : Near2tlg. Il propose plusieurs bases de données en vente et s’est même fendu d’un message pour expliquer ses motivations et qu’il ne s’agit pas d’une seule personne, mais d’un « collectif ».

Near2tlg : le manifeste du groupe de pirates

« Nous avons réussi à infiltrer plusieurs systèmes informatiques et à accéder à un grand nombre de bases de données sensibles, y compris celles de grandes entreprises comme Le Point, SFR, Direct Assurance et Mediboard. En seulement une semaine, notre groupe, récemment formé, a démontré sa capacité à exploiter efficacement les vulnérabilités des infrastructures numériques », explique le collectif dans ce qui ressemble à un manifeste. Le message est également repris sur sa chaine Telegram.

Le groupe Near2tlg affirme avoir « déjà signalé les failles de sécurité sur les sites concernés ». Mais, au lieu de répondre et de corriger le tir, « ces entreprises ont préféré privilégier leurs profits, accumulant des milliards de chiffre d’affaires tout en négligeant la sécurité de leurs utilisateurs ». YuroSh, le pirate qui prétend être à l’origine du piratage de Free, affirmait lui aussi avoir envoyé des alertes de sécurité à l’entreprise.

« Nous continuerons à agir tant que la justice ne sera pas rendue. Nous mettrons à l’épreuve toutes les entreprises qui choisissent de privatiser les bénéfices générés au détriment de la sécurité de leurs utilisateurs », explique le groupe. YuroSh aussi tenait un discours militant dans ses revendications, mais sur un autre sujet que les profits : « Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas ».

• Fuite chez Free : la folle histoire des données vendues… ou pas

Mediboard : « aucune donnée n'a été vendue »… pour l’instant

Parmi les bases de données mises en vente par Near2TLG, certaines fuites ont déjà été confirmées par les victimes. C’est le cas de nos confrères du Point et des données de 750 000 patients via Mediboard. Les pirates affirment au passage ne pas être à l’origine de la fuite de Free ni de celle d’Auchan.

Concernant Mediboard (dont la fuite a été confirmée), Near2tlg affirme (dans un message publié hier soir) qu’aucune « donnée n’a été vendue », mais le groupe lance « un ultimatum : un paiement de 5 000 dollars en Monero [une cryptomonnaie open source, ndlr] dans les trois jours, ou nous libérerons toute la base de données ».

• Les données médicales et personnelles de 750 000 Français sont à vendre

Retour des données SFR, dont une copie aurait été vendue

Le groupe de pirates a aussi (re)mis en avant un message pour vendre des données de SFR dérobées début septembre. 150 000 clients seraient concernés, avec les nom, email, numéro de téléphone, nom de la banque, IBAN et adresse. Un premier exemplaire des données aurait été vendu, toujours selon la publication sur le forum.

• RED by SFR informe ses clients d’une nouvelle fuite, avec une ribambelle de données

Mediboard : un accès aux données de 1,5 million de patients

Dans la besace bien chargée des pirates, il y a d’autres choses à vendre, notamment des accès à Mediboard pour un « contrôle exclusif sur plusieurs établissements » : Centre Luxembourg, Clinique Alleray-Labrouste, Clinique Jean d'Arc, Clinique Saint-Isabelle et Hôpital Privé de Thiais. Cela ouvrirait les portes aux données de 1,5 million de patients.

Nous avons contacté le groupe Softway Medical qui, via sa filliale Openxtrem propose Mediboard pour avoir confirmation et des précisions sur cette seconde affaire, sans retour pour l’instant. Nous mettrons l’actualité à jour si la société devait revenir vers nous.

Direct Assurance : 15 000 personnes, dont plus de 6 000 RIB

Autres informations en vente, celles des clients de Direct Assurance. Plus de 15 000 personnes seraient dans leurs filets : 6 137 clients et 9 517 prospects. Selon la publication, les pirates auraient utilisé les accès d’un employé pour récupérer les données.

La liste des données en fuite comprend les nom, email, téléphone et adresse dans les deux cas. Dans le cas des clients, les pirates annoncent aussi vendre les RIB, nom de la banque et BIC. Des données bancaires importantes dont la fuite peut avoir des conséquences sur les comptes en banque des victimes.

Direct Assurance nous confirme la fuite

Nous avons contacté Direct Assurance ce matin. L’entreprise nous confirme la fuite, aussi bien sur des prospects que des clients (avec des données bancaires dans ce cas), sans pouvoir valider les chiffres annoncés par le pirate pour l’instant.

La brèche vient d’un fournisseur de services externe, dont l’identité n’est pas précisée. Bien évidemment, toutes les mesures nécessaires ont été prises pour « bloquer toute nouvelle fuite de données ».

La CNIL a été notifiée, nous affirme Direct Assurance (c’est d’ailleurs une obligation légale), qui est en train de prévenir ses clients concernés de la fuite de leurs données personnelles.

Un accès à « Osiris Production » en vente

Passons maintenant à « Osiris Production », dont la cible reste assez floue. Le pirate la présente comme « une plateforme utilisée par les pouvoirs publics français pour gérer les demandes d’indemnisation en cas d’accidents du travail et de maladies professionnelles ».

Mais Osiris Production renvoie vers un extranet du ministère de la Jeunesse et des Sports. Le site est actuellement en maintenance, mais il était fonctionnel en juin 2024 selon la Wayback Machine. Les captures d’écran mises en ligne par Near2tlg parlent d’un « projet associatif », ce qui pourrait coller à l’extranet Osiris dont nous parlons.

De 350 à 800 dollars, bientôt au tour de la SNCF ?

Sur Telegram, le groupe de pirates annonce ses tarifs : 350 dollars la base de données du Point, 800 dollars celle de SFR, 400 dollars pour Direct Assurance… avec un paiement en cryptomonnaie exclusivement.

Le message Telegram se termine par un coup de semonce pour une autre entreprise : « SNCF, préparez-vous, votre tour arrive ».