Fuites chez EDF : bourrage d’identifiants et coup de bluff du pirate

Les fuites de données se multiplient au fils des semaines, c’est un fait indéniable. Mais il y a toujours la possibilité que certains surfent sur la vague pour se faire mousser. C’est le cas cette semaine avec des « fuites » chez EDF et Conforama. L’information a rapidement circulé, avec comme unique source une publication sur un forum bien connu des pirates.

Aie confiance, crois en moi, que je puisse…

Problème, aucune confirmation ne permettait d’étayer les propos du pirate : EDF et Conforama n’ont pas communiqué auprès de leurs clients, alors que c’est normalement une obligation en cas de violation des données personnelles. Généralement, on trouve des copies des emails rapidement sur les réseaux sociaux.

Cela n’empêche pas certains experts et médias de partir bille en tête en se basant sur les seules déclarations du pirate, parfois avec du conditionnel… mais pas toujours. Le pirate a multiplié les publications sur le forum (neuf en quelques jours à peine), avec des échantillons pour appuyer ses dires. La situation semble être tout autre.

EDF et Conforama : 15,6 millions de clients… ou pas !

C’est de nouveau sur un célèbre forum de pirates que l’affaire débute : des données sont mises en vente par Varun. Il propose « la base de données EDF Prime énergie. C’est une aide financière pour des travaux de rénovation énergétique. Elle contient plus de 6,3 millions de personnes », avec un échantillon en exemple.

On y retrouve de nombreuses informations avec emails, numéros de téléphones et même une copie de la demande d’aide. Il y a également des indications sur la tranche des « revenus de mon ménage » qui peuvent être inférieurs aux plafonds d’un tableau A ou B, une information utilisée pour calculer le montant des aides.

Dans une autre publication, le pirate propose aussi des données de clients Conforama : « Il y a plus de 9,3 millions de personnes dont j’ai réussi à gratter des informations, notamment nom, prénom, email, date de naissance, numéro de téléphone, facture et plein d’autres informations ».

Le pirate « on fire » : Pont-de-Claix, Freedom Electronics, Webixa… ou pas ?

Varun affirme aussi avoir récupéré et mis en vente les données des clients E.Leclerc Énergie le 28 janvier, soit un jour après l’annonce de la fuite d’E.Leclerc à ses clients. Dans une mise à jour, Varun précise que les données ont été vendues et qu’il ne procédera pas à de nouvelles ventes. Un bon moyen de se donner de la « crédibilité » puisqu’aucune publication auparavant ne revendiquait la mise en vente des données d’E.Leclerc.

• Cyberattaque contre E.Leclerc : des données personnelles « ont pu être exposées »

Sur le forum spécialisé, on retrouve d’autres publications dans les derniers jours. Il affirme aussi avoir mis la main sur la « base de données de la ville française Pont-de-Claix », sur celle de freedomelectronics.net, du The Norwegian Training Center à Manille (Philippines), de Tidtang Studio à Bangkok (Thaïlande) et de Webixa en Pologne.

Le pirate « a tout simplement menti »

Hier, aucune publication sur les réseaux sociaux ou communication officielle permettait de confirmer les dires de Varun. En fouillant un peu, une source nous a mis en garde sur cette fuite, ou plus exactement elle a exprimé des doutes quant à sa véracité.

Aujourd’hui, les masques tombent. Dès ce matin, Clubic battait en brèche les affirmations du pirate : « Le hacker "Varun" […] a tout simplement menti. Il a juste procédé à du recyclage de données issues d'une précédente fuite ».

« Nous avons appris de source sûre, lundi soir, que le hacker a en fait procédé à ce que l'on appelle du "credential stuffing" » (ou bourrage d’identifiant en français), explique notre confrère. Cette technique, rappelle la CNIL, « consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe) ».

Le principe est simple : des données ayant fuité sur un site sont réutilisées sur un autre service. Si vous avez réutilisé un même mot de passe, le pirate peut accéder à votre compte. Selon Clubic, Varun aurait utilisé des données de la fuite (confirmée) de LDLC.

EDF : des « connexions illicites », pas de fuites massives

Ce midi, c’était au tour de BFM Tech & Co de revenir sur cette affaire. Selon nos confrères, EDF « dément, mais fait tout de même état de "connexions illicites" à l'une de ses plateformes », Prime Energie en l’occurrence. Quoi qu’il en soit, la société « dément toute fuite de données massive », après une enquête interne.

Elle reconnait par contre, « une centaine de connexions illicites » en réutilisant des identifiants concernés par de précédentes fuites. Raison pour laquelle le site Prime Energie EDF est « suspendu » depuis le 3 février. « Les pirates n'ont accès qu'à des documents "en nombre limité" », précise BFM Tech & Co. Documents qui peuvent servir d’échantillons pour faire croire à une fuite massive.

Quelques minutes plus tard, Numerama confirme, là encore avec un retour d’EDF : « il n’y a pas de signaux indiquant une vaste fuite de données… ». Le reste de l’histoire est la même que celle de nos autres confrères.

Rappel des précédents épisodes

Cette affaire rappelle encore une fois l’importance de prendre le temps de confirmer et recouper des informations. Et, s’il en était besoin, de ne pas prendre pour argent comptant des publications d’un pirate sur un forum.

Cela n’empêche évidemment pas que les fuites des derniers mois sont nombreuses et réelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance, Norauto, des fédérations françaises de sport, E.Leclerc, Aides.org…

Dans le cas d’Aides, de RED by SFR et de Free, des IBAN étaient aussi dans la liste des données récupérées par les pirates et donc disponibles sur Internet. Il faut pour rappel surveiller ses comptes pour vérifier la présence de prélèvements douteux, comme indiqué dans notre dossier.

• Fuite d’IBAN : quels sont les risques, comment se protéger