Connexion
Abonnez-vous

Fuites chez EDF : bourrage d’identifiants et coup de bluff du pirate

Vitesse, précipitation… toussa

Fuites chez EDF : bourrage d’identifiants et coup de bluff du pirate

Des millions de Français victimes d’une fuite de données chez EDF et Conforama ? Pas si vite… S’il est tentant de céder aux sirènes alarmistes, la réalité semble bien différente, au moins chez EDF qui « dément toute fuite de données massive ». Le pirate aurait utilisé une attaque par bourrage d’identifiants pour récupérer des données. Explications.

Le 04 février à 15h26

Les fuites de données se multiplient au fils des semaines, c’est un fait indéniable. Mais il y a toujours la possibilité que certains surfent sur la vague pour se faire mousser. C’est le cas cette semaine avec des « fuites » chez EDF et Conforama. L’information a rapidement circulé, avec comme unique source une publication sur un forum bien connu des pirates.

Aie confiance, crois en moi, que je puisse…

Problème, aucune confirmation ne permettait d’étayer les propos du pirate : EDF et Conforama n’ont pas communiqué auprès de leurs clients, alors que c’est normalement une obligation en cas de violation des données personnelles. Généralement, on trouve des copies des emails rapidement sur les réseaux sociaux.

Cela n’empêche pas certains experts et médias de partir bille en tête en se basant sur les seules déclarations du pirate, parfois avec du conditionnel… mais pas toujours. Le pirate a multiplié les publications sur le forum (neuf en quelques jours à peine), avec des échantillons pour appuyer ses dires. La situation semble être tout autre.

EDF et Conforama : 15,6 millions de clients… ou pas !

C’est de nouveau sur un célèbre forum de pirates que l’affaire débute : des données sont mises en vente par Varun. Il propose « la base de données EDF Prime énergie. C’est une aide financière pour des travaux de rénovation énergétique. Elle contient plus de 6,3 millions de personnes », avec un échantillon en exemple.

On y retrouve de nombreuses informations avec emails, numéros de téléphones et même une copie de la demande d’aide. Il y a également des indications sur la tranche des « revenus de mon ménage » qui peuvent être inférieurs aux plafonds d’un tableau A ou B, une information utilisée pour calculer le montant des aides.

Dans une autre publication, le pirate propose aussi des données de clients Conforama : « Il y a plus de 9,3 millions de personnes dont j’ai réussi à gratter des informations, notamment nom, prénom, email, date de naissance, numéro de téléphone, facture et plein d’autres informations ».

Le pirate « on fire » : Pont-de-Claix, Freedom Electronics, Webixa… ou pas ?

Varun affirme aussi avoir récupéré et mis en vente les données des clients E.Leclerc Énergie le 28 janvier, soit un jour après l’annonce de la fuite d’E.Leclerc à ses clients. Dans une mise à jour, Varun précise que les données ont été vendues et qu’il ne procédera pas à de nouvelles ventes. Un bon moyen de se donner de la « crédibilité » puisqu’aucune publication auparavant ne revendiquait la mise en vente des données d’E.Leclerc.

Sur le forum spécialisé, on retrouve d’autres publications dans les derniers jours. Il affirme aussi avoir mis la main sur la « base de données de la ville française Pont-de-Claix », sur celle de freedomelectronics.net, du The Norwegian Training Center à Manille (Philippines), de Tidtang Studio à Bangkok (Thaïlande) et de Webixa en Pologne.

Le pirate « a tout simplement menti »

Hier, aucune publication sur les réseaux sociaux ou communication officielle permettait de confirmer les dires de Varun. En fouillant un peu, une source nous a mis en garde sur cette fuite, ou plus exactement elle a exprimé des doutes quant à sa véracité.

Aujourd’hui, les masques tombent. Dès ce matin, Clubic battait en brèche les affirmations du pirate : « Le hacker "Varun" […] a tout simplement menti. Il a juste procédé à du recyclage de données issues d'une précédente fuite ».

« Nous avons appris de source sûre, lundi soir, que le hacker a en fait procédé à ce que l'on appelle du "credential stuffing" » (ou bourrage d’identifiant en français), explique notre confrère. Cette technique, rappelle la CNIL, « consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe) ».

Le principe est simple : des données ayant fuité sur un site sont réutilisées sur un autre service. Si vous avez réutilisé un même mot de passe, le pirate peut accéder à votre compte. Selon Clubic, Varun aurait utilisé des données de la fuite (confirmée) de LDLC.

EDF : des « connexions illicites », pas de fuites massives

Ce midi, c’était au tour de BFM Tech & Co de revenir sur cette affaire. Selon nos confrères, EDF « dément, mais fait tout de même état de "connexions illicites" à l'une de ses plateformes », Prime Energie en l’occurrence. Quoi qu’il en soit, la société « dément toute fuite de données massive », après une enquête interne.

Elle reconnait par contre, « une centaine de connexions illicites » en réutilisant des identifiants concernés par de précédentes fuites. Raison pour laquelle le site Prime Energie EDF est « suspendu » depuis le 3 février. « Les pirates n'ont accès qu'à des documents "en nombre limité" », précise BFM Tech & Co. Documents qui peuvent servir d’échantillons pour faire croire à une fuite massive.

Quelques minutes plus tard, Numerama confirme, là encore avec un retour d’EDF : « il n’y a pas de signaux indiquant une vaste fuite de données… ». Le reste de l’histoire est la même que celle de nos autres confrères.

Rappel des précédents épisodes

Cette affaire rappelle encore une fois l’importance de prendre le temps de confirmer et recouper des informations. Et, s’il en était besoin, de ne pas prendre pour argent comptant des publications d’un pirate sur un forum.

Cela n’empêche évidemment pas que les fuites des derniers mois sont nombreuses et réelles : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, MeilleurtauxOrnikarFree (fixe et mobile), Picard, MolotovAuchan et le Pointun client de MediboardDirect AssuranceNorauto, des fédérations françaises de sport, E.Leclerc, Aides.org

Dans le cas d’Aides, de RED by SFR et de Free, des IBAN étaient aussi dans la liste des données récupérées par les pirates et donc disponibles sur Internet. Il faut pour rappel surveiller ses comptes pour vérifier la présence de prélèvements douteux, comme indiqué dans notre dossier.

Commentaires (5)

votre avatar
C'est certain que si on utilise partout les mêmes login/password écris sur le post-it collé à l'écran, ça simplifie le piratage de l'ensemble des comptes. Bon je vais devoir changer les miens :D
jesuisunboulet@ jemenfiche.fr
password1234
votre avatar
/me va faire un tour sur quelques sites voir si ça marche :o
votre avatar
Mais ils n'ont pas un mécanisme qui, en cas de nouvelle IP, demande au moins de saisir un code temporaire reçu par mail ?
votre avatar
Pour mon compte EDF, à chaque connexion je n'utilise pas mon mot de passe mais un code envoyé par SMS ou par mail. Je n'ai pas l'alternative d'utiliser le mot de passe configuré initialement. Donc même avec du brute force, tout ce que les attaquants peuvent savoir c'est si telle adresse mail est liée à un compte EDF.
Pour EDF Prime énergie, je n'ai aucune idée.
votre avatar
Cela rappel aussi qu'il est important de changer régulièrement nos mots de passe et surtout de ne pas les réutiliser entre différents sites.

Fuites chez EDF : bourrage d’identifiants et coup de bluff du pirate

  • Aie confiance, crois en moi, que je puisse…

  • EDF et Conforama : 15,6 millions de clients… ou pas !

  • Le pirate « on fire » : Pont-de-Claix, Freedom Electronics, Webixa… ou pas ?

  • Le pirate « a tout simplement menti »

  • EDF : des « connexions illicites », pas de fuites massives

  • Rappel des précédents épisodes

Fermer