Connexion
Abonnez-vous

Direct Assurance, Osiris, Mediboard… un collectif de pirates rafle vos données

« SNCF, préparez-vous, votre tour arrive »

Direct Assurance, Osiris, Mediboard… un collectif de pirates rafle vos données

Depuis la rentrée, les entreprises françaises sont particulièrement ciblées par les pirates et il ne se passe pas une semaine sans l’annonce d’une nouvelle fuite. Ces derniers jours, un groupe est particulièrement actif : Near2tlg. Il a publié un manifeste et revendique les piratages du Point, de SFR, de Direct Assurance, de Mediboard et d’Osiris Production. Plusieurs fuites ont déjà été confirmées.

Le 20 novembre à 16h18

Sur un forum prisé par les pirates qui veulent signaler leurs méfaits et/ou revendre leur butin, un compte est particulièrement actif ces derniers jours : Near2tlg. Il propose plusieurs bases de données en vente et s’est même fendu d’un message pour expliquer ses motivations et qu’il ne s’agit pas d’une seule personne, mais d’un « collectif ».

Near2tlg : le manifeste du groupe de pirates

« Nous avons réussi à infiltrer plusieurs systèmes informatiques et à accéder à un grand nombre de bases de données sensibles, y compris celles de grandes entreprises comme Le Point, SFR, Direct Assurance et Mediboard. En seulement une semaine, notre groupe, récemment formé, a démontré sa capacité à exploiter efficacement les vulnérabilités des infrastructures numériques », explique le collectif dans ce qui ressemble à un manifeste. Le message est également repris sur sa chaine Telegram.

Le groupe Near2tlg affirme avoir « déjà signalé les failles de sécurité sur les sites concernés ». Mais, au lieu de répondre et de corriger le tir, « ces entreprises ont préféré privilégier leurs profits, accumulant des milliards de chiffre d’affaires tout en négligeant la sécurité de leurs utilisateurs ». YuroSh, le pirate qui prétend être à l’origine du piratage de Free, affirmait lui aussi avoir envoyé des alertes de sécurité à l’entreprise.

« Nous continuerons à agir tant que la justice ne sera pas rendue. Nous mettrons à l’épreuve toutes les entreprises qui choisissent de privatiser les bénéfices générés au détriment de la sécurité de leurs utilisateurs », explique le groupe. YuroSh aussi tenait un discours militant dans ses revendications, mais sur un autre sujet que les profits : « Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas ».

Mediboard : « aucune donnée n'a été vendue »… pour l’instant

Parmi les bases de données mises en vente par Near2TLG, certaines fuites ont déjà été confirmées par les victimes. C’est le cas de nos confrères du Point et des données de 750 000 patients via Mediboard. Les pirates affirment au passage ne pas être à l’origine de la fuite de Free ni de celle d’Auchan.

Concernant Mediboard (dont la fuite a été confirmée), Near2tlg affirme (dans un message publié hier soir) qu’aucune « donnée n’a été vendue », mais le groupe lance « un ultimatum : un paiement de 5 000 dollars en Monero [une cryptomonnaie open source, ndlr] dans les trois jours, ou nous libérerons toute la base de données ».

Retour des données SFR, dont une copie aurait été vendue

Le groupe de pirates a aussi (re)mis en avant un message pour vendre des données de SFR dérobées début septembre. 150 000 clients seraient concernés, avec les nom, email, numéro de téléphone, nom de la banque, IBAN et adresse. Un premier exemplaire des données aurait été vendu, toujours selon la publication sur le forum.

Mediboard : un accès aux données de 1,5 million de patients ?

Dans la besace bien chargée des pirates, il y a d’autres choses à vendre, notamment des accès à Mediboard pour un « contrôle exclusif sur plusieurs établissements » : Centre Luxembourg, Clinique Alleray-Labrouste, Clinique Jean d'Arc, Clinique Saint-Isabelle et Hôpital Privé de Thiais. Cela ouvrirait les portes aux données de 1,5 million de patients.

Nous avons contacté le groupe Softway Medical qui, via sa filliale Openxtrem propose Mediboard pour avoir confirmation et des précisions sur cette seconde affaire, sans retour pour l’instant. Nous mettrons l’actualité à jour si la société devait revenir vers nous.

Direct Assurance : 15 000 personnes, dont plus de 6 000 RIB

Autres informations en vente, celles des clients de Direct Assurance. Plus de 15 000 personnes seraient dans leurs filets : 6 137 clients et 9 517 prospects. Selon la publication, les pirates auraient utilisé les accès d’un employé pour récupérer les données.

La liste des données en fuite comprend les nom, email, téléphone et adresse dans les deux cas. Dans le cas des clients, les pirates annoncent aussi vendre les RIB, nom de la banque et BIC. Des données bancaires importantes dont la fuite peut avoir des conséquences sur les comptes en banque des victimes.

Direct Assurance nous confirme la fuite

Nous avons contacté Direct Assurance ce matin. L’entreprise nous confirme la fuite, aussi bien sur des prospects que des clients (avec des données bancaires dans ce cas), sans pouvoir valider les chiffres annoncés par le pirate pour l’instant.

La brèche vient d’un fournisseur de services externe, dont l’identité n’est pas précisée. Bien évidemment, toutes les mesures nécessaires ont été prises pour « bloquer toute nouvelle fuite de données ».

La CNIL a été notifiée, nous affirme Direct Assurance (c’est d’ailleurs une obligation légale), qui est en train de prévenir ses clients concernés de la fuite de leurs données personnelles.

Un accès à « Osiris Production » en vente

Passons maintenant à « Osiris Production », dont la cible reste assez floue. Le pirate la présente comme « une plateforme utilisée par les pouvoirs publics français pour gérer les demandes d’indemnisation en cas d’accidents du travail et de maladies professionnelles ».

Mais Osiris Production renvoie vers un extranet du ministère de la Jeunesse et des Sports. Le site est actuellement en maintenance, mais il était fonctionnel en juin 2024 selon la Wayback Machine. Les captures d’écran mises en ligne par Near2tlg parlent d’un « projet associatif », ce qui pourrait coller à l’extranet Osiris dont nous parlons.

De 350 à 800 dollars, bientôt au tour de la SNCF ?

Sur Telegram, le groupe de pirates annonce ses tarifs : 350 dollars la base de données du Point, 800 dollars celle de SFR, 400 dollars pour Direct Assurance… avec un paiement en cryptomonnaie exclusivement.

Le message Telegram se termine par un coup de semonce pour une autre entreprise : « SNCF, préparez-vous, votre tour arrive ».

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Sont originaux ceux-là, avec leur posture de mi-connards mi-preux-chevaliers.
votre avatar
Ils seraient full preux si après avoir remonté l'alerte en privée il y avait un palier à remonter l'alerte publiquement avant la sentence sur la place publique.
Certes l'image de ces entreprises va être salie publiquement, mais ceux qui en paient les pots cassés sont des quidams qui ont adhéré à ces entreprises sans être au courant de leur politique de sécurtié (et parfois sans avoir le choix).

PS: les DB de site de presse doivent être bien pourries par des comptes de bots :p
votre avatar
Pourquoi ils s'attaquent pas à Total, Shell ou autre entreprise à la moralité douteuse, s'ils sont si aptent à juger que leurs victimes préfèrent la thune à la sécurité des données de leurs utilisateurs ?
Je serais étonné que leurs défenses soient impénétrables.
votre avatar
Total ou Shell proposent des comptes utilisateurs avec des interfaces de gestion nécessitant une connexion ?
Éventuellement pour Total, vu qu'ils commercialisent des contrats énergétiques à destination du grand public. Pour Shell, c'est plus compliqué.
Pourquoi ils ne s'attaquent pas à Total, à des banques ou autres ? Peut-être que ces entités utilisent d'autres CMS qui ne présentent pas les mêmes failles que ceux qu'ils ont déjà attaqués ?
votre avatar
Je mettais surtout ce message en réponse à leur message faussement outré de voir leurs victimes "privilégier leurs profits". Je dis pas que c'est faux, mais la crédibilité n'est pas là...
votre avatar
Ces entreprises ont préféré privilégier leurs profits, accumulant des milliards de chiffre d’affaires tout en négligeant la sécurité de leurs utilisateurs. Nous continuerons à agir tant que la justice ne sera pas rendue. Nous mettrons à l’épreuve toutes les entreprises qui choisissent de privatiser les bénéfices générés au détriment de la sécurité de leurs utilisateurs.
Disent-ils en générant des profits lors de la vente des données piratées.
votre avatar
« SNCF, préparez-vous, votre tour arrive »
Pour une fois qu'avoir un train de retard est un avantage... :francais:
votre avatar
Bien vu.

En fait, à la SNCF, même le hacking est en retard.

"Voie G, la fuite de données entrera en gare avec un retard de 2 semaines."
votre avatar
Le bashing comme d'habitude. Saviez vous comment ça se passe à l'intérieur ? Non.
votre avatar
Vous connaissez le sujet? Vous bossez dans l'entreprise ? Non. Alors gardez vos moqueries pour vous.
votre avatar
Cela s'appelle de l'humour.

Et vous posez des questions sans même attendre mes réponses....

Allez, belle journée à vous.
votre avatar
Comme vous pouvez lire sur un autre commentaire votre "humour" à provoqué une réaction de moquerie bien réel . Il y a des femmes et des hommes derrière du service cybersecu, et ce n'est que de réduire leur travail acharné à une simple caricature ou à un stéréotype injuste. Ces équipes mettent souvent tout en œuvre pour protéger les données sensibles et prévenir des catastrophes majeures, dans un contexte où les cybermenaces évoluent constamment. En dénigrant implicitement leur rôle ou en minimisant leurs efforts par des commentaires ironiques, on risque non seulement de démotiver ces professionnels, mais aussi de mal informer le public sur l’importance et la complexité de leur travail. Alors ça donne toujours envie de "rire" ?
votre avatar
Alors ça donne toujours envie de "rire" ?
Oh que oui. Encore plus avec votre commentaire, tant je le trouve hors sol (planer pour la SNCF, c'est un comble (spoiler alert : ceci est de l'humour, encore)).

Ce stéréotype injuste, comme vous le décrivez, représente 23% des trains en 2023. On est presque à 1 train sur 4. Mais vous avez raison, ce n'est qu'un stéréotype.

Qui plus est, je doute fortement que l'équipe cybersécu (qui n'a pas été dénigré ici) conduise les trains, soit responsable des rames en panne, des obstacles sur les voies ferrés, des erreurs d'aiguillages, ou que sais-je encore.

Ca ne vous à pas faire rire et ça vous a offusqué ? J'en suis bien désolé. Je n'avais nulle intention de froisser quiconque. Juste de faire un trait d'humour. Mais dans ce cas, autant arrêter de faire de l'humour, car il aura toujours un rabat-joie pour dire que c'est pas drôle.

Vous pouviez tout à fait dire que vous n'aviez pas trouvé ça drôle, sans pour autant afficher autant de dédain et de mépris en si peu de mots. Vous êtes parti sur des préjugés à mon égard (et pas que moi d'ailleurs) sans même savoir si je bosse directement ou indirectement pour cette entreprise, ou même un membre de ma famille.

Sur ce, je vous laisse, vous et votre ton moralisateur.
votre avatar
Une idée du point commun (ou SPOF) entre toutes ces boîtes FR, dont on voit passer les noms sur Next comme une mauvaise litanie ?
votre avatar
Le manque flagrant de considération pour la cybersécurité ?
votre avatar
Être française, un certain pays à l'est nous est hostile depuis un moment
votre avatar
Ce n'est pas ce qu'est un SPoF.
votre avatar
Depuis quelques jours je reçois un paquet de mail de phishing concernant Leroy Merlin. Peut-être qu'il y a aussi eu une fuite de ce côté.
votre avatar
Le champ From d'un mail ne donne pas une information fiable sur son origine réelle.
Surtout dans le cas du phishing !
votre avatar
Je n'ai pas parlé du champ From. Le phishing est tellement large que même
20minutes en parle.
votre avatar
Je ne crois pas que ça vienne d’une fuite de chez Leroy Merlin. J’ai reçu aussi ce genre de mails de phishing... sur une adresse que je ne leur ai jamais donné (mais qui a fuité par ailleurs).
votre avatar
De mon côté j'ai plusieurs mails mais je reçois ce spam uniquement sur le mail que j'ai utilisé une fois sur leur caisse pour récupérer un ticket de caisse pour la garantie.
votre avatar
C'est l'occasion pour moi de découvrir le Bug Bounty de SNCF Connect : 10 000 € pour une faille critique.
Mais pas sûr que ça soit ce qui intéresse ces gens là.
votre avatar
Je m'étonne des prix franchement ridicules ...
(5000€ ?)

Est-ce qu'on serait dans un changement de tendance ?
cad toujours des failles/fuites, mais une grosse difficulté de monétisation de ces données car ... y'en a trop de partout.

Et donc peut-être un ralentissement à terme car pas rentable ?
votre avatar
Même réflexion

Direct Assurance, Osiris, Mediboard… un collectif de pirates rafle vos données

  • Near2tlg : le manifeste du groupe de pirates

  • Mediboard : « aucune donnée n'a été vendue »… pour l’instant

  • Retour des données SFR, dont une copie aurait été vendue

  • Mediboard : un accès aux données de 1,5 million de patients ?

  • Direct Assurance : 15 000 personnes, dont plus de 6 000 RIB

  • Direct Assurance nous confirme la fuite

  • Un accès à « Osiris Production » en vente

  • De 350 à 800 dollars, bientôt au tour de la SNCF ?

Fermer