Via Twitter, un groupe de pirates a publié un fichier qui contiendrait 13 000 identifiants de comptes utilisateurs, parfois avec des numéros de carte bleue et sa date d'expiration. On y retrouverait des services comme Amazon, Dell, PlayStation Network et Xbox Live pour ne citer qu'eux.
Identifiants, mots de passe et numéros de carte bancaire
Les lendemains de fêtes sont parfois difficiles pour certains, notamment du côté du PlayStation Network ainsi que du Xbox Live qui ont fait les frais d'une attaque DDoS. Mais cela ne semble pas être suffisant et un groupe de pirates aurait publié un fichier, effacé depuis, comprenant des informations sur pas moins de 13 000 comptes utilisateurs, ainsi qu'un lien pour télécharger le film The Interview de Sony.
Il serait question de l'identifiant et du mot de passe associé, accompagné parfois d'un numéro de carte bancaire et de sa date d'expiration. Pourquoi cette opération ? « Pour le lulz » selon le compte Twitter du groupe de pirates... On y retrouverait des données provenant de services divers et variés comme VPNCyberGhost, UbiSoft, VCC, Brazzers, UFC TV, PSN, XBL Gamers, Twitch TV, Amazon, Hulu Plus, Dell, Walmart ainsi qu'Electronic Arts. Nos confrères de DailyDot ont publié une liste précise des sites qui seraient concernés.
D'où viennent ces données ?
Si, de part son nom (@AnonymousGlobo), le groupe de pirate revendique son appartenance au mouvement Anonymous, le compte @LatestAnonNews précise pour sa part qu'il n'a « aucune affiliation » avec ce dernier. Mais ce n'est pas la seule réaction suite à ce piratage puisque Microsoft serait intervenue chez nos confrères de CNBC et du Telegraph : « nous n'avons aucune preuve d'une faille de la sécurité sur les services Xbox Live ». La société de Redmond ajoutant au passage qu'elle « prend très au sérieux la sécurité et les données de ses clients ». Du côté de CyberGhost, son PDG Robert Knapp serait intervenu chez nos confrères de TechCrunch pour préciser que le groupe de pirates n'a « pas d'identifiants de clients de son service, mais des clés d'activation gratuites ». Il précise au passage qu'il n'y aurait pas de faille de sécurité pour les utilisateurs de CyberGhost.
Mais la fuite les données ne provient pas obligatoirement des sites concernés puisqu'elles peuvent avoir été récupérées sur les machines des utilisateurs. Selon nos confrères du Daily Dot qui ont interrogé Chris Davis, un spécialiste en cybersécurité, les pirates auraient pu utiliser un botnet pour mener à bien leurs opérations (voir notre interview d'Éric Freyssinet pour plus de détails).
Quoi qu'il en soit, on se retrouve plus ou moins dans la même situation que lorsque des pirates avaient annoncé avoir dérobé pas moins de 1,2 milliard de mots de passe. Dans tous les cas, il est recommandé de changer ses mots de passe sur les sites concernés, ne serait-ce que par prévention. Concernant les paiements par cartes bancaires, il faudra surveiller son compte afin de détecter tout mouvement suspect... une règle qui s'applique finalement tout le temps et pas uniquement lorsqu'un groupe de pirate publie des données sensibles.
Commentaires (71)
Bien envie de mettre la main sur cette liste rien que pour brazzers 
" /> 
" />
" />
Ca pourrait être utile si tu y trouves les identifiants de ton patron, ca sent l’augmentation de salaire annuelle
Moi j’aimerai bien la liste, juste pour savoir si je suis impacté …
Changer ses MdP tout les 36 du mois, ça devient chiant, même si je sais qu’en théorie, il faudrait les changer régulièrement.
C’est en majorité de vieilles données qui circulent sur le web, depuis des années pour certaines.
cela devrait etre interdit de stocker les numeros de cb. le client devrait les rentrer a chaques fois.
J’ai tout changé y’a même pas une semaine 
" />
Merci la e-cb LBP qui me génère un no de cb unique à la demande, valable pour une transaction et pour un montant précis. Est-ce que d’autres banques ont un service similaire ou est-ce toujours la cb “spécial internet” en vigueur ?
Osef vais pas toujours changer mon mot de passe pour chaque petite couille…
" />
En plus, meme si on paye des trucs avec ta cb, tu peux toujours t’opposer, porter plainte sur la transaction
Non plusieurs banque le propose.
Crédit Mutuel le fait, et un de mes potes à la Société Générale m’a déjà dit s’en être servi.
Par contre c’est pas forcément activé par défaut.
Oui beaucoup le font (Banque Pop, LCL, …) c’est indispensable je pense.
LCL le fait aussi mais a priori cela ne fonctionne pas tout le temps sur les sites marchand. Certains ne l’accepte pas.
Chez CA c est du 2FA avec code pin par Texto.
Pas sur que ce soit super efficace en cas de vol de sac a main :)
Mouai. 13000 comptes utilisateurs alors que les serveurs de la NSA en comptent, combien ?
Pas de traces de mon compte sur la liste sur laquelle j’avais pu mettre la main hier… et comme d’hab’, la qualité des mdp était vraiment déplorable pour la très grande majorité
" />
13000, c’est juste ridicule, l’info circule partout alors qu’il y’a surement au moins autant de numéro de carte dérobés tous les mois.
les Anonymous
" /> 
" />
vu que le principe est qu’il n’y a pas de chef, ils peuvent jamais prouver que c’est eux ou pas
bon cherchons la liste
Ça pourrait être une bête liste obtenue en “brute forcant” du MdP pourrave ? (pas vu la liste en question)
Tu as la même réponse si ton compte fait partie des 13000 ?
" />
Non
" /> 
" />
Mais c’est petit de s’attaquer aux plus faibles
Oui, ça y ressemblait, et de mémoire il me semble que tous les mdp étaient uniquement en alphanumérique.
LCL, t’es sûr ?
C’est quoi le nom de ce service stp ?
Ça devient tellement régulier que je ne connais plus mes mots de passe. Les services sensibles (qui gardent le numéro de CB etc. donc Amazon, Paypal, Google, Microsoft…) -> Keepass et je génère régulièrement des nouveaux mdp.
Je pense que c’est pour le moment, le moyen le plus sage pour éviter d’être au milieu d’une liste de ce type avec un trio login pass numéro de CB.
Dire que pendant 10 ans je le suis contenté de mon mot de passe à 22 chiffres. J’en permutais juste quelques uns selon le service, ça me permettait de les connaître par cœur….
Ça me surprend assez qu’ils aient pu avoir les mdp et id du Xbox Live.
Ça me surprend assez qu’ils aient pu avoir les mdp et id du Xbox Live.
e-Carte Bleue, tout simplement (voir ici je ne suis pas client LCL donc je sais pas ce que ça donne dans les faits)
et sinon la liste elle est où ?
" /> 
" />
vivement la généralisation et la régularisation (parce que c’est interdit en france à cause des lois militaires si mes souvenirs sont bons) du double facteur (U2F Fido : ici), on aura beaucoup moins de soucis et les seules attaques possibles deviendront celles avec des man in the middle…
Après ce genre de liste je m’en méfie comme la peste c’est souvent des veilles listes qui ressortent dans le but de faire un phishing ou pour faire du e-pen** pour montrer que waouh ils sont trop forts…
déjà, si certains de ces sites pouvaient permettre la double authentification (même avec un token logiciel sur le PC ou le smartphone, voir avec un matos type yubikey s’il veulent du plus sécurisé) ça permettrait de rendre ces listes complètement inutiles…
oui oui le concept je connaissais déjà (depuis le temps quand même
" />) 
" />
c’était comment le LCL le fait (si des fois c’était différent des autres…), c’est tout
Après coup, j’ai vu ça, merci d’avoir confirmé :)
Mais de mon expérience passée, e-carte bleue n’est effectivement pas utilisable partout, là où le numéro généré par Virtualis passe “incognito”.
Du coup, autant s’ouvrir un compte gratuit chez Fortuneo, groupe Arkea, qui offre aussi le service Virtualis.
Au Crédit Mutuel (et CIC d’après l’image qui suit) il faut demander d’activer le service, il t’envoie un carte de clés et lorsque tu craques pendant les soldes steam, tu vas sur le site de la banque, tu donnes la bonne clé, tu indiques la somme, tu reçois un SMS avec un code, tu rentres le code et il te génère un numero de CB + date d’expiration à usage unique …
" />
Donc c’est bien pour ne jamais donné ses vraies informations sur un site d’achat. Par contre c’est dommage de ne pas pouvoir complétement interdire l’utilisation de mes vraies info sur internet au près de ma banque
En effet, si on me vole ma CB … Bah il s’achète directement ce qu’il veut via mes vraies info + cryptogramme … rien n’oblige le voleur à devoir me voler mon portable et surtout ma carte de clé puisque tout ça est malheureusement optionnel …
Les nouvelles génération de CB vont avoir un cryptogramme dynamique qui changera régulièrement … C’est un plus pour l’usage d’internet mais ça ne résout pas le problème de la perte/vole de CB physiquement..
prochaine loi amon:
prévenir chaque client personnellement concerné en cas de piratage ou de fuites de données personnelles.
Et si on l’a dans la gueule, on dépose plainte en collectif?
jveux pas dire, mais ils nous gavent avec des procédures de sécurité qu’on respecte, si ils ne jouent plus le jeux on doit laisser passer ça?
effectivement c’est limitatif :$
Avec ce système, le marchand peut-il procéder à un remboursement lorsqu’un article est rendu dans le cadre d’un retour par exemple ?
E-Carte Bleu. C’est inclus dans les cléo de base et plus. A voir comment ça marche après car moi même je ne sais pas.
https://ghostbin.com/paste/avtnw/raw removed 
" />
D’après ce site, cette fameuse liste ne serait que des vieux leaks.
A prendre avec des pincettes…
Bonne question… Je dirais que dans l’absolu il faudra passer par un bon d’achat ou alors leur transmettre tes vraies coordonnées bancaires pour le remboursement (ou un compte paypal s’ils le font).
A voir avec ta banque je dirais.
Amazon mémorise lenuméro de CB d’office. C’est à l’utilisateur de retourner sur son compte pour le supprimer.
La FNAC par contre demande clairement s’ils peuvent où non le conserver pour les prochaines fois.
Chez Fortuneo (système Virtualis), les remboursement sont bien crédités sur ton compte quand tu paies via une CB virtuelle (testé cette semaine avec Amazon).
Ca commence à bien faire de devoir changer ses mots de passe toutes les semaines parce que certains sont pas foutus de sécuriser correctement leurs bases de données…
J’ai pas vraiment regardé mais ça serait intéressant de voir s’il est pas possible de se retourner contre ceux qui ont failli à leur devoir de sécurisation des données en cas d’utilisation frauduleuse… Peut être porteraient ils un peu plus d’attention là dessus plutôt qu’a vouloir se faire du fric.
le groupe de pirate revendique son appartenance au mouvement Anonymous, le compte @LatestAnonNews précise pour sa part qu’il n’a « aucune affiliation » avec ce dernier.
Moi je dirais que c’est le compte @LatestAnonNews qui n’a aucun rapport avec Anonymous, de par son principe.
Salut à tous,
Ce serait sympa si quelqu’un qui a trouvé la liste pouvait me dire si j’ai été piraté (PSN et XBL).
Mon n° de CB c’est 4976 1548 2559 3897 et le n° derrière c’est 198. Je stresse trop même si ma carte expire en février 2015, ça reste désagréable de se le faire tirer.
Merci de tout cœur.
ouais donc c est de l’info à la Voica/Poblic/Clooser…
En essayant de trouver la liste sur le net, beaucoup disent que ce sont de vieilles listes de comptes déjà publiées avec certaines datant de 3 ans.
Ca sent plus le truc pour se faire mousser qu’autre chose…
Je ne donnerai pas de lien vers les résultats de mes recherches, mais la méthode utilisée c’est de retrouver le message sur twitter dans lequel il y a le lien ghostbin. Puis Google retourne des résultats en cache pour cette URL (le contenu ayant été supprimé entre temps). Je ne sais pas si c’est réellement ça, mais les messages en parlant semblaient récents…
Manque le nom/prénom affichés sur la carte
" />
Tu peux mémoriser le cryptogramme puis l’effacer de la CB par grattage.
J’espère pour lui que les infos sont fausses :-#
e-carte électronique > un numéro valable une seule fois puis n’existe plus, donc à renouveler à chaque nouvel achat
Il y a des e-carte bleue dans une palanquée de banques… Le numéro généré est effectivement “mono-transaction”, mais le contrôle de l’exactitude du montant n’est pas absolu. C’est d’ailleurs à mon avis inutile, vu que le “one shot” auto-carbonise le numéro aussitôt après l’enregistrement de la transaction, ce qui pour moi a toujours duré moins 5 secondes. Au passage, j’arrondis le montant “demandé” toujours à l’euro supérieur…
Bonsoir
Je suis inscrit sur plus de 53 sites ou services en ligne nécessitant un login et un mot de passe.
Je ne connais de tête qu’un seul de ceux la
Ils sont tous (les logins et les mots de passe) différents et aux format très compliqué ex : Huv27**qDE#14;t
Comment tous les retenir ?
Juste en avoir un seul maître qu’il ne faut pas perdre ou laisser traîner et le reste, c’est dashlane qui s’en occupe :
https://www.dashlane.com/fr/
un autre : https://www.passwordbox.com/
Extra… Je reçois des alertes en cas de danger et le changement de mot de passe se fait régulièrement, mais peu importe car je ne les connais pas et je n’ai pas besoin de les connaitre
Une excellente solution (on peut désigner un ami/famille de confiance pour un accès en cas de pépin)
Je l’utilise depuis 18 mois et j’en suis très satisfait… bien évidement pour écrire ce message j’ai dû me connecter sur nextinpact avec un login et un mot de passe que j’ignore ;)
Si si tu peux payer en plusieurs fois. En tous cas a la SG, tu peux prolonger la vie du numéro de e cb de plusieurs mois pour justement les paiements en x fois