Les fuites et failles sont malheureusement monnaie courante, avec plus ou moins de gravité. Au cours des dernières heures, plusieurs sociétés en ont été victimes : données personnelles et bancaires chez Ticketmaster, suspicion chez Adidas, dépôt GitHub détourné chez Gentoo, etc. 

Pour le moment, la plus grosse fuite de données personnelles revient certainement à Yahoo avec pas moins de trois milliards de comptes, excusez du peu. Dans les fuites emblématiques, signalons également celle aux multiples rebondissements d'Equifax, se révélant de plus en plus graves au fil des mois.

Citons aussi le quiz de Cambridge Analytica sur Facebook (lire notre analyse), avec une captation des données de dizaines de millions de membres du réseau social. L'affaire n'est d'ailleurs pas terminée avec 120 millions de clients exposés à cause d'un autre quiz (Nametests.com).

Face à cette déferlante de comptes piratés de toute part, la résistance s'organise doucement. Des gestionnaires de mots de passe surveillent régulièrement ce genre de fuites et vous préviennent si besoin. Il en est de même pour Firefox, via un partenariat qui vient d'être officialisé avec Have I been pwned. 

Les différents services vont devoir se mettre à jour, en ajoutant au moins quelques millions de comptes supplémentaires à leur base de données.

• À lire : Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut

Ticketmaster accuse un script Inbenta... et se prend deux retours de bâton

Ticketmaster annonce en effet avoir été victime d'un piratage, potentiellement depuis… septembre 2017. « Le samedi 23 juin 2018, Ticketmaster UK a identifié que des logiciels malveillants sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster, exportaient les données des clients britanniques vers un tiers inconnu » explique l'entreprise spécialisée dans la vente de billets de spectacle.

Inbenta répond : « la source de la brèche de données était un seul morceau de code JavaScript, personnalisé par Inbenta pour répondre aux exigences particulières de Ticketmaster ». Elle ajoute que le code n'est donc présent dans aucune autre implémentation ou produit Inbenta.

La société charge au passage son partenaire : « Ticketmaster a directement appliqué le script à sa page de paiement, sans en informer notre équipe. Si nous avions su que le script personnalisé était utilisé de cette façon, nous aurions déconseillé de le faire, car il y aurait un plus grand risque de vulnérabilité ».

Dans tous les cas, les utilisateurs concernés par cet incident sont informés par email et peuvent bénéficier d'une solution de surveillance de leur identité gratuitement pendant 12 mois. Au total, moins de 5 % de la clientèle mondiale est concernée selon la Ticketmaster, mais ceux d'Amérique du Nord sont épargnés, sans que l'on sache pourquoi.

Pour le reste : « Les clients britanniques qui ont acheté ou tenté d'acheter des billets entre le mois de février et le 23 juin 2018 peuvent être touchés ainsi que les clients internationaux qui ont acheté ou tenté d'acheter des billets entre septembre 2017 et le 23 juin 2018 », soit une période de 10 mois tout de même.

Les informations transférées vers un tiers non identifié comprennent le nom, l'adresse, l'adresse e-mail, le numéro de téléphone, les informations de paiement (sans plus de détail) et de connexion à Ticketmaster. Il n'est pas précisé si les mots de passe étaient chiffrés et de quelle manière le cas échéant.

La banque Monzo affirme avoir prévenu Ticketmaster dès le mois d'avril

La banque Monzo y va aussi de son billet de blog, également à charge contre Ticketmaster. Elle indique en effet avoir informé la société d'un problème potentiel dès le mois d'avril suite à une recrudescence de fraudes chez ses clients ayant utilisé leur carte chez Ticketmaster.

Les premières remontées datent du 6 avril, avec des utilisations frauduleuses pour une cinquantaine de clients Monzo, sans en connaitre la cause à l'époque. La banque a donc ouvert une enquête : « notre équipe Crime Financier et Sécurité a remarqué une tendance. 70 % des clients concernés avaient utilisé leur carte chez le même marchand en ligne entre décembre de l'année dernière et avril de cette année. Ce marchand était Ticketmaster. Une situation inhabituelle, puisque seulement 0,8 % de tous nos clients utilisaient Ticketmaster ».

Monzo avait alors contacté d'autres banques et les autorités compétentes à la recherche de cas similaires, sans résultat. Les tentatives de fraudes ont continué les jours suivants : « Compte tenu de la tendance qui se dessinait, nous avons décidé de contacter directement Ticketmaster ». Le 12 avril, des personnels de Ticketmaster ont rencontré ceux de Monzo et annoncé l'ouverture d'une enquête interne.

Une semaine plus tard, le vendeur de billets rétorquait n'avoir identifié aucun signe d'effraction sur son site et affirmait ne pas avoir reçu de rapports similaires provenant d'autres banques. L'affaire en était restée là. « Par mesure de précaution », Monzo avait tout de même remplacé 6 000 cartes de clients l'ayant utilisée chez Ticketmaster, mais sans nommer cette dernière à l'époque.

La banque se dit « heureuse de voir que Ticketmaster a publié l'information publiquement », et elle a mis en ligne une chronologie des faits, de son point de vue évidemment. Dans tous les cas, l'enquête Ticketmaster suit son cours et la société affirme collaborer avec les autorités compétentes, les banques et organismes de paiement. 

Adidas : des données de quelques millions d'utilisateurs en fuite 

Autre société, autre ambiance. Le fabricant de chaussures Adidas a mis en ligne un bulletin de sécurité expliquant qu'un tiers non autorisé leur a « déclaré avoir obtenu certaines données de ses clients », mais sans le citer.

Suite à une enquête préliminaire menée par ses services, les informations de contact, noms et mots de passe (chiffrés, sans plus de détail) auraient fuité. Le fabricant n'a par contre « aucune raison de croire » que des informations bancaires ou en rapport avec la santé de ses utilisateurs soient dans le lot. Une maigre consolation.

Un porte-parole de la société explique à plusieurs de nos confrères que, « à l'heure actuelle, quelques millions de clients » sont concernés. Ils sont tous contactés par le fabricant et, là encore, l'enquête suit son cours. Pour les détails, on repassera.

Gentoo s'est fait piquer son dépôt GitHub

Chez Gentoo, il n'est pas question d'une fuite de données, mais du piratage de son dépôt Github hier soir vers 22h20 (heure française) : « des inconnus ont pris le contrôle du Github de Gentoo et ont modifié son contenu, ainsi que les pages qui s'y trouvent ». Bref, « tout le code Gentoo hébergé sur GitHub doit pour le moment être considéré comme compromis ».

Les fichiers ebuilds mis en place par les pirates voulaient supprimer l'ensemble des données présentes sur la machine en cas d'installation, mais le code ne fonctionnait visiblement pas correctement, selon les développeurs de la distribution Linux. Dans tous les cas, les fichiers malveillants ont rapidement été supprimés et, vers 6h30 du matin, Gentoo a récupéré l'accès à son dépôt (qui est pour le moment inaccessible). 

Ce piratage n'a aucune conséquence sur son infrastructure servant de dépôt principal, affirment les développeurs : GitHub n'est qu'un miroir. Il n'y a donc rien à craindre si vous utilisez une commande rsync ou webrsync pointant vers gentoo.org. La distribution promet des mises à jour à venir sur le déroulement des opérations. 

Face à toutes ses failles, fuites et autres piratages, reste une question : à qui le tour ?