Direct Assurance, Osiris, Mediboard… un collectif de pirates rafle vos données
« SNCF, préparez-vous, votre tour arrive »
Depuis la rentrée, les entreprises françaises sont particulièrement ciblées par les pirates et il ne se passe pas une semaine sans l’annonce d’une nouvelle fuite. Ces derniers jours, un groupe est particulièrement actif : Near2tlg. Il a publié un manifeste et revendique les piratages du Point, de SFR, de Direct Assurance, de Mediboard et d’Osiris Production. Plusieurs fuites ont déjà été confirmées.
Sur un forum prisé par les pirates qui veulent signaler leurs méfaits et/ou revendre leur butin, un compte est particulièrement actif ces derniers jours : Near2tlg. Il propose plusieurs bases de données en vente et s’est même fendu d’un message pour expliquer ses motivations et qu’il ne s’agit pas d’une seule personne, mais d’un « collectif ».
Near2tlg : le manifeste du groupe de pirates
« Nous avons réussi à infiltrer plusieurs systèmes informatiques et à accéder à un grand nombre de bases de données sensibles, y compris celles de grandes entreprises comme Le Point, SFR, Direct Assurance et Mediboard. En seulement une semaine, notre groupe, récemment formé, a démontré sa capacité à exploiter efficacement les vulnérabilités des infrastructures numériques », explique le collectif dans ce qui ressemble à un manifeste. Le message est également repris sur sa chaine Telegram.
Le groupe Near2tlg affirme avoir « déjà signalé les failles de sécurité sur les sites concernés ». Mais, au lieu de répondre et de corriger le tir, « ces entreprises ont préféré privilégier leurs profits, accumulant des milliards de chiffre d’affaires tout en négligeant la sécurité de leurs utilisateurs ». YuroSh, le pirate qui prétend être à l’origine du piratage de Free, affirmait lui aussi avoir envoyé des alertes de sécurité à l’entreprise.
« Nous continuerons à agir tant que la justice ne sera pas rendue. Nous mettrons à l’épreuve toutes les entreprises qui choisissent de privatiser les bénéfices générés au détriment de la sécurité de leurs utilisateurs », explique le groupe. YuroSh aussi tenait un discours militant dans ses revendications, mais sur un autre sujet que les profits : « Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas ».
Mediboard : « aucune donnée n'a été vendue »… pour l’instant
Parmi les bases de données mises en vente par Near2TLG, certaines fuites ont déjà été confirmées par les victimes. C’est le cas de nos confrères du Point et des données de 750 000 patients via Mediboard. Les pirates affirment au passage ne pas être à l’origine de la fuite de Free ni de celle d’Auchan.
Concernant Mediboard (dont la fuite a été confirmée), Near2tlg affirme (dans un message publié hier soir) qu’aucune « donnée n’a été vendue », mais le groupe lance « un ultimatum : un paiement de 5 000 dollars en Monero [une cryptomonnaie open source, ndlr] dans les trois jours, ou nous libérerons toute la base de données ».
Retour des données SFR, dont une copie aurait été vendue
Le groupe de pirates a aussi (re)mis en avant un message pour vendre des données de SFR dérobées début septembre. 150 000 clients seraient concernés, avec les nom, email, numéro de téléphone, nom de la banque, IBAN et adresse. Un premier exemplaire des données aurait été vendu, toujours selon la publication sur le forum.
Mediboard : un accès aux données de 1,5 million de patients ?
Dans la besace bien chargée des pirates, il y a d’autres choses à vendre, notamment des accès à Mediboard pour un « contrôle exclusif sur plusieurs établissements » : Centre Luxembourg, Clinique Alleray-Labrouste, Clinique Jean d'Arc, Clinique Saint-Isabelle et Hôpital Privé de Thiais. Cela ouvrirait les portes aux données de 1,5 million de patients.
Nous avons contacté le groupe Softway Medical qui, via sa filliale Openxtrem propose Mediboard pour avoir confirmation et des précisions sur cette seconde affaire, sans retour pour l’instant. Nous mettrons l’actualité à jour si la société devait revenir vers nous.
Direct Assurance : 15 000 personnes, dont plus de 6 000 RIB
Autres informations en vente, celles des clients de Direct Assurance. Plus de 15 000 personnes seraient dans leurs filets : 6 137 clients et 9 517 prospects. Selon la publication, les pirates auraient utilisé les accès d’un employé pour récupérer les données.
La liste des données en fuite comprend les nom, email, téléphone et adresse dans les deux cas. Dans le cas des clients, les pirates annoncent aussi vendre les RIB, nom de la banque et BIC. Des données bancaires importantes dont la fuite peut avoir des conséquences sur les comptes en banque des victimes.
Direct Assurance nous confirme la fuite
Nous avons contacté Direct Assurance ce matin. L’entreprise nous confirme la fuite, aussi bien sur des prospects que des clients (avec des données bancaires dans ce cas), sans pouvoir valider les chiffres annoncés par le pirate pour l’instant.
La brèche vient d’un fournisseur de services externe, dont l’identité n’est pas précisée. Bien évidemment, toutes les mesures nécessaires ont été prises pour « bloquer toute nouvelle fuite de données ».
La CNIL a été notifiée, nous affirme Direct Assurance (c’est d’ailleurs une obligation légale), qui est en train de prévenir ses clients concernés de la fuite de leurs données personnelles.
Un accès à « Osiris Production » en vente
Passons maintenant à « Osiris Production », dont la cible reste assez floue. Le pirate la présente comme « une plateforme utilisée par les pouvoirs publics français pour gérer les demandes d’indemnisation en cas d’accidents du travail et de maladies professionnelles ».
Mais Osiris Production renvoie vers un extranet du ministère de la Jeunesse et des Sports. Le site est actuellement en maintenance, mais il était fonctionnel en juin 2024 selon la Wayback Machine. Les captures d’écran mises en ligne par Near2tlg parlent d’un « projet associatif », ce qui pourrait coller à l’extranet Osiris dont nous parlons.
De 350 à 800 dollars, bientôt au tour de la SNCF ?
Sur Telegram, le groupe de pirates annonce ses tarifs : 350 dollars la base de données du Point, 800 dollars celle de SFR, 400 dollars pour Direct Assurance… avec un paiement en cryptomonnaie exclusivement.
Le message Telegram se termine par un coup de semonce pour une autre entreprise : « SNCF, préparez-vous, votre tour arrive ».
Commentaires (25)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 20/11/2024 à 16h42
Le 21/11/2024 à 12h07
Certes l'image de ces entreprises va être salie publiquement, mais ceux qui en paient les pots cassés sont des quidams qui ont adhéré à ces entreprises sans être au courant de leur politique de sécurtié (et parfois sans avoir le choix).
PS: les DB de site de presse doivent être bien pourries par des comptes de bots :p
Le 20/11/2024 à 16h45
Je serais étonné que leurs défenses soient impénétrables.
Le 21/11/2024 à 08h47
Éventuellement pour Total, vu qu'ils commercialisent des contrats énergétiques à destination du grand public. Pour Shell, c'est plus compliqué.
Pourquoi ils ne s'attaquent pas à Total, à des banques ou autres ? Peut-être que ces entités utilisent d'autres CMS qui ne présentent pas les mêmes failles que ceux qu'ils ont déjà attaqués ?
Le 21/11/2024 à 15h32
Le 20/11/2024 à 17h02
Le 20/11/2024 à 17h44
Le 20/11/2024 à 17h51
En fait, à la SNCF, même le hacking est en retard.
"Voie G, la fuite de données entrera en gare avec un retard de 2 semaines."
Le 21/11/2024 à 12h10
Le 21/11/2024 à 12h09
Le 21/11/2024 à 12h19
Et vous posez des questions sans même attendre mes réponses....
Allez, belle journée à vous.
Modifié le 21/11/2024 à 20h19
Le 21/11/2024 à 21h07
Ce stéréotype injuste, comme vous le décrivez, représente 23% des trains en 2023. On est presque à 1 train sur 4. Mais vous avez raison, ce n'est qu'un stéréotype.
Qui plus est, je doute fortement que l'équipe cybersécu (qui n'a pas été dénigré ici) conduise les trains, soit responsable des rames en panne, des obstacles sur les voies ferrés, des erreurs d'aiguillages, ou que sais-je encore.
Ca ne vous à pas faire rire et ça vous a offusqué ? J'en suis bien désolé. Je n'avais nulle intention de froisser quiconque. Juste de faire un trait d'humour. Mais dans ce cas, autant arrêter de faire de l'humour, car il aura toujours un rabat-joie pour dire que c'est pas drôle.
Vous pouviez tout à fait dire que vous n'aviez pas trouvé ça drôle, sans pour autant afficher autant de dédain et de mépris en si peu de mots. Vous êtes parti sur des préjugés à mon égard (et pas que moi d'ailleurs) sans même savoir si je bosse directement ou indirectement pour cette entreprise, ou même un membre de ma famille.
Sur ce, je vous laisse, vous et votre ton moralisateur.
Le 20/11/2024 à 18h10
Le 20/11/2024 à 19h59
Le 20/11/2024 à 20h44
Le 20/11/2024 à 23h21
Le 20/11/2024 à 23h08
Le 21/11/2024 à 13h17
Surtout dans le cas du phishing !
Le 23/11/2024 à 09h02
20minutes en parle.
Le 23/11/2024 à 16h21
Le 23/11/2024 à 16h38
Le 21/11/2024 à 14h45
Mais pas sûr que ça soit ce qui intéresse ces gens là.
Le 21/11/2024 à 16h29
(5000€ ?)
Est-ce qu'on serait dans un changement de tendance ?
cad toujours des failles/fuites, mais une grosse difficulté de monétisation de ces données car ... y'en a trop de partout.
Et donc peut-être un ralentissement à terme car pas rentable ?
Le 21/11/2024 à 19h48
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?