L’hécatombe continue. Un pirate informatique vient de mettre en vente une base de données volées à Direct Assurance, une compagnie d’assurance en ligne, filiale du groupe AXA. L’annonce, consultée par 01Net et repérée par Zataz, est apparue sur BreachForums, un forum considéré comme l’Amazon de la cybercriminalité par les chercheurs.
Le cybercriminel, qui se cache derrière le pseudonyme near2tlg, indique avoir pu pénétrer dans les systèmes du groupe français à l’aide d’un « accès employé ». Tout porte à croire que le pirate s’est servi d’identifiants compromis pour orchestrer l’offensive. Ces identifiants valides lui ont ouvert la porte de toute l’infrastructure.
À lire aussi : Cyberattaques en France – les dernières fuites de données et entreprises touchées
Des IBAN et des RIB compromis
Une fois dans le système, le cybercriminel a exfiltré les données personnelles de « 6137 clients et de 9517 prospects », soit un total de plus de 15 000 individus. Les informations volées comprennent les noms, les adresses mail, et les numéros de téléphone des victimes.
Dans le cas des clients, near2tlg a aussi mis la main sur des coordonnées bancaires, à commencer par l’IBAN (International Bank Account Number). Comme c’était le cas lors du piratage de Free, le numéro bancaire des clients se retrouve entre les mains de criminels. Lors de plusieurs expérimentations, 01Net a pu démontrer que le vol de l’IBAN pouvait conduire à des prélèvements frauduleux sur votre compte. Ce n’est donc pas à prendre à la légère.
Dans ce cas-ci, le pirate a également obtenu le RIB, ou Relevé d’Identité Bancaire, des clients de la compagnie d’assurance. Ce document, qui permet d’identifier un compte bancaire de manière unique dans le système bancaire de France, est utilisé pour effectuer des transactions financières, telles que des virements, des prélèvements ou des dépôts.
Le RIB comprend une montagne de données, à savoir le nom de la banque, le code banque (un code à cinq chiffres qui identifie la banque), le code guichet (un autre code à cinq chiffres qui identifie l’agence bancaire), le numéro de compte, la clé RIB (un code à deux chiffres qui permet de vérifier l’exactitude du RIB), le nom du titulaire du compte, et l’adresse de l’agence bancaire. C’est plus qu’il n’en faut pour débiter un compte bancaire sans entrave…
Toutes ces informations sont recensées dans un fichier au format .json. Il s’agit d’un format « fréquemment utilisé pour les bases de données volumineuses ». Le vendeur indique que le répertoire sera cédé à un maximum de trois acheteurs.
Des pirates très occupés en ce moment
Comme le souligne Zataz, c’est le même pirate à l’origine de la cyberattaque qui a frappé un hôpital de la région parisienne qui est derrière l’opération. En s’appuyant sur un compte compromis, le hacker near2tlg a pu voler plus de 750 000 dossiers médicaux de Français. Là encore, il a mis en vente les données volées sur BreachForums. near2tlg est aussi responsable de la cyberattaque contre Le Point. L’intrusion a abouti au vol des données de 915 899 utilisateurs. Il revendique aussi le hack de SFR, qui avait pourtant été revendiqué par un autre gang.
Aux yeux de Damien Bancal, le chercheur du blog Zataz, le pirate a « une méthodologie bien rodée » et s’attaque uniquement « aux bases de données volumineuses et sensibles, avec un fort potentiel de revente sur le dark web ».
Sur son canal Telegram, near2tlg précise qu’il « n’est pas une personne, mais un collectif », qui a vu le jour il y a « seulement sept jours ». Sur Telegram, le groupe s’exprime en français.
« Nous avons déjà signalé les failles de sécurité sur les sites concernés. Pourtant, au lieu de répondre à nos alertes et de corriger ces vulnérabilités, ces entreprises ont préféré privilégier leurs profits, accumulant des milliards de chiffre d’affaires tout en négligeant la sécurité de leurs utilisateurs », affirme near2tlg.
La menace des infostealers
Pour obtenir les identifiants compromis sur lesquels repose la cyberattaque de Direct Assurance, le hacker a pu passer par des infostealers, des virus taillés pour le vol de données, Comme nous l’explique Benoit Grunemwald, chercheur chez ESET France, le « moyen le plus performant » pour obtenir « des login et mot de passe valides » reste l’infostealer.
Déployés en masse des millions d’ordinateurs, ces malwares sont programmés pour siphonner toutes les informations stockées par les utilisateurs. Ces virus sont responsables d’une grande partie des cyberattaques les plus redoutables de ces derniers mois, dont le hack de centaines de clients de Snowflake.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Zataz