Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuite de données personnelles chez Norauto : 78 000 clients concernés

Le 04 décembre 2024 à 08h48

Norauto confirme à l’AFP avoir été la cible d’une cyberattaque : « Les investigations menées par nos équipes mobilisées sur le sujet indiquent que des données à caractère personnel spécifiquement liées à notre service location ont été ciblées ». 78 000 clients sont concernés.

Selon les cas, les données récupérées par les pirates contiennent les nom, prénom, adresses email et postale, numéro de téléphone, numéro de carte de fidélité et numéro de pièce d'identité. Pas de données bancaires donc.

L’enseigne affirme avoir « immédiatement mis en place des mesures pour stopper l’attaque et renforcer la sécurité de (ses) systèmes ». La CNIL a été informée de l’incident, comme la loi l’oblige. Norauto ne donne pas plus de détails.

Le 27 novembre, sur un forum bien connu des pirates, l’un d'eux revendiquait avoir récupéré les données de 78 000 clients via « un panneau d’administration pour gérer le paiement ». Il vendait d’ailleurs l’accès à cette interface pour 200 euros, contre 50 euros les données. Les informations personnelles ne pèsent pas lourd.

Depuis la rentrée, les annonces se multiplient : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraiteRED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance

Le 04 décembre 2024 à 08h48

Commentaires (28)

votre avatar
Bientôt la liste des sociétés touchées sera plus longue que le reste de l'article :eeek2:
votre avatar
"La vie privée, au sens moderne du terme, n'existe plus".

On a juste mis 15 ans pour s'apercevoir que Google avait raison.
votre avatar
Google a sorti ça dans son intérêt afin de rendre la donnée personnelle moins valorisante, il n'avait aucunement prévu que les boites ne chercheraient pas à sécuriser leurs BDDs.
votre avatar
Ce qui me fait déliré, c’est le prix dérisoire qui est demandé pour les données !!! 50€ c’est rien du tout ! Même s’il en vend 100 ou 500 ça paye pas le temps passé !
Et 200€ pour l’accès à l’interface d’admin est tout aussi ridicule ! Surtout que ça pourrait permettre de rebondir dans le SI et faire bien plus de dégâts !
votre avatar
ça paye pas le temps passé
Qu'en sais-tu ? Si ça se trouve ça lui a pris 2h, à 50€ s'il en vend 100 comme tu dis ça lui fait 5k€, ça fait un beau taux horaire :D
votre avatar
Et en plus, c'est net d'impôts !
votre avatar
Ce serait pas plus simple de mettre une liste des entreprises/organismes qui ne sont pas (Encore) touché ?
votre avatar
immédiatement mis en place des mesures pour stopper l’attaque et renforcer la sécurité de (ses) systèmes
C'est toujours marrant de voir ça dans tous les communiqués des sociétés hackées. Si c'est si simple et rapide à mettre en place, pourquoi est-ce qu'elles ne l'avaient pas déjà fait ?
votre avatar
Parce qu'ils n'étaient pas en risque avant voyons :santa_flock:
votre avatar
Ce que j’adore avec tous ces épisodes divers et variés c’est que je sais que mes données personnelles sont dans la nature. Je sais que quelqu’un de malintentionné pourrait usurper mon identité et que je ne peut strictement rien y faire. Et j’ai l’impression que globalement rien n’est fait pour que la situation s’améliore. Monde de merde !
votre avatar
T'as laissé une copie de ta CI sur Norauto ou bien ?
votre avatar
Le problème c'est justement de savoir si on peut créer une fausse CI à partir des informations piratées.

J'ai l'impression que personne ne vérifie jamais que les documents sont authentiques. Et, lorsqu'ils sont authentiques, s'ils appartiennent vraiment à l'individu qui les fournit.

Ca m'a l'air de servir d'assurance légale pour se dédouaner en cas de problème: "ah bah, j'avais demandé une copie de la CI. Je pouvais pas savoir qu'elle était fausse".
votre avatar
Le peut-on vraiment, effectivement bonne question.
Les numéros sur la CI ne sont pas vérifiés ou vérifiables par les opérateurs téléphonique ? exemple qui me vient de suite.
votre avatar
Je doute que ca aille plus loin que vérifier si le code MRZ est techniquement valide.
Et on peut facilement générer un code MRZ valide.

IDFRA1234567897<<<<<<<<<<<<<<<0012212M4812247FRA<<<<<<<<<<<6NEXT<<ELTICAIL<<<<<<<<<<<<<<<<
votre avatar
Ok, mais c'est pas avec ça ils pourront aller en mairie refaire une CI avec leurs tronches; cas d'usurpation des plus compliquées pour les victimes.
votre avatar
Cas d'un ami qui s'est fait usurpé: l'usurpateur avait loué un appart et ouvert des comptes elec/eau/gaz. Ce qui lui a permis de prendre une assurance domicile. Et avec tout ca + une fausse CI il a ouvert un compte dans une banque en ligne. Ensuite il a souscrit des prêts à la consommation qu'il n'a jamais remboursé et mon ami a été interdit bancaire.

La procédure a duré des années. Encore aujourd'hui ses comptes bancaires sont sous surveillance par sa banque: obligation d'aller en personne dans un agence lorsqu'il veut faire des opérations spéciales (mandat SEPA...).

C'est le groooos problème avec l'usurpation d'identité: mm si on arrête le coupable, ton identité reste comme étant "potentiellement usurpée" pendant des années.
votre avatar
C'est de ce genre de cas que j'ai évoqué en fin de mon dernier post. Avec les infos trouvées sur le net ça me semble compliqué de créer une fausse CI.
votre avatar
J'utilise tout le temps https://filigrane.beta.gouv.fr/ maintenant quand je dois envoyer ma CI ou autre.
votre avatar
Mais ca c'était avant qu'on puisse entrainer une IA a reconstruire parfaitement des images.
Voire à en générer depuis un prompt.

Il me parait improbable que je sois le seul a avoir pensé qu'on puisse entrainer une IA générative sur la création de vrais/faux documents officiels.
votre avatar
Pour les avis d'impôts il y a un QR code qui permet de vérifier en ligne s'il est bien valide.
Pour la CI, il y a france-identite.gouv.fr République Française mais il faut une application mobile pour le générer apparemment.
votre avatar
Je connaissais pas. Ca a l'air très bien.

Maintenant faut que les tiers acceptent de recevoir un QR Code a la place de la sacro-sainte "photocopie de votre CI".
votre avatar
Il faut que je note ça dans un coin pour m'en souvenir en 2031 quand ma carte d'identité actuelle sera périmée. Peut-être que mon smartphone du moment aura un lecteur NFC.

Effectivement, ça a l'air bien, sur le papier. :fumer:
votre avatar
Fuite de données personnelles chez Norauto : 78 000 clients concernés
Pourtant, ils vendent le nécessaire !
votre avatar
Moi, j'ai quand même un doute que pour les 50 (au pif, j'ai pas compté) boites qui se sont fait trouées, les gus aient trouvé 50 failles/pof différents.
Je reste persuadé (jusqu'à une preuve minimale expliquée) que ces différentes fuite ont un point commun.
Un outil de prestataire, une lib, social enginering du chat de la secrétaire, etc.
Et comme la cause commune n'est pas divulguée, tous ceux qui sont des cibles potentielles ne mettent pas en place de mesures (patch par ex.) car ne se sentent pas concernés.

Bon, je fais un peu complotiste, mais si vous avez des infos contradictoires, je suis tout ouïs.
votre avatar
Ben c'est surtout à toi d'apporter des preuves de ce que tu dis. Parce que sinon, on peut dire tout et n'importe quoi et laissez aux autres le soin d'apporter la contradiction. Ah ben c'est bien la définition du complotisme ça.
votre avatar
JE plaide coupable, mais je trouve étrange cette vague de fuite.
votre avatar
De ce que j'ai cru comprendre sur la plupart des cas, il s'agirait d'un partenaire qui traitait les données pour le compte de l'entreprise.

C'est un des risques avec la sous-traitance : si ce dernier est attaqué, il devient un SPOF pour ses clients.
votre avatar
Des numéros de plaque d'immatriculation peut-être?

Fuite de données personnelles chez Norauto : 78 000 clients concernés

Fermer