Piratage : TF1 et ViaPresse communique sur le vol de 1,9 million de données clients
Nous révélions vendredi 2 janvier, en partenariat avec RTL, le piratage d’un espace commercial proposé par le site Internet TF1.fr. La première chaîne de télévision européenne a souhaité répondre par communiqué de presse.
« TF1 a référencé sur son portail un partenaire commercial qui propose des abonnements presse à ses clients. Le site proposant ces abonnements, bien que référencé sous l’URL de tf1.fr, est placé sous le contrôle exclusif de ce partenaire et ce indépendamment de la gestion du site tf1.fr par les équipes de TF1.
Hier, ce partenaire a été victime d’une attaque informatique. Il a pris en charge l’incident dès sa détection en liaison avec les équipes de eTF1, qui ont supprimé les accès à ce site. A aucun moment, les données des internautes inscrits à TF1.fr et gérées par TF1 n’ont été exposées, ni piratées. »
#tf1 précise comm' presse "A aucun moment, les données des internautes inscrits à TF1.fr & gérées par TF1 n’ont été exposées, ni piratées."
— Damien Bancal (@Damien_Bancal) January 3, 2015
Pour ViaPresse : « Des pirates informatiques ont affirmé avoir dérobé des données clients sur le site
abonnement-presse.tf1.fr. Le site est entièrement géré et hébergé par la société Viapresse SA qui a immédiatement corrigé la faille technique.
Le kiosque abonnement TF1
Créé en 2008 par Viapresse en partenariat avec TF1, le kiosque propose aux internautes de s’abonner à des magazines à tarif préférentiel. Depuis sa création, 6500 clients ont souscrit à l’offre du kiosque abonnement tf1.
Quelles données sont concernées ?
Viapresse précise qu’il ne s’agit en aucun cas des données bancaires des clients du kiosque presse TF1. En effet, Viapresse ne stocke pas et n’a pas accès aux données des cartes bancaires ; les transactions étant effectuées depuis les plateformes sécurisées mise à disposition par les banques. Quant aux abonnements réglés par prélèvement, Viapresse précise que les RIB de ces clients sont stockés dans une base de données cryptée non accessible.
Les données concernées sont : l’identité du client, adresse, email et mot de passe.
Les pirates affirment détenir des RIB Les RIB détenus par les pirates appartiennent à des prestataires de Viapresse et non à des clients du kiosque presse tf1« .
Importante précision effectivement. Heureusement que le protocole d’alerte de zataz a permis de « détecter » cette attaque. A noter que les internautes allant sur le site de TF1 ne sont pas censés savoir qu’ils sont en fait chez un partenaire extérieur, ViaPresse. « Faire appel à la sous-traitance n’enlève en rien la responsabilité de s’assurer des – process de sécu – de celle-ci et des risques » souligne Frédéric Gouth, consultant en sécurité informatique, membre du CLUSIR Aquitaine. Il existe même un ISO (6.2.1) à ce sujet baptisé « Identification des risques liés à des parties externes« . Sans parler de la loi informatique et liberté (CNIL, ndr) et ses articles 34 et 35. Étonnant, les deux iSQL ont permis l’accès à la base de données (BDD) de Viapresse, via TF1.fr, BDD qui comportait donc des données (RIB) appartenant à des prestataires Viapresse ! Voilà des « liens » particulièrement malencontreux pour la sécurité et la vie privée des clients.
.@Damien_Bancal Faire appel à la sous-traitance n'enlève en rien la responsabilité de s'assurer des process de sécu de celle-ci & des risks
— Frederic GOUTH (@FredGOUTH) January 3, 2015
Une seconde faille corrigée
Plus inquiétant encore, nous avons dû alerter ce samedi matin la direction technique de TF1 pour une seconde faille, ouvrant elle aussi sur une base de données. D’après les informations de zataz.com, des données de cartes bancaires [heureusement, non complètes, ndr], identités, IP, numéro de transaction, dates. A noter que les informations que nous avons pu lire dataient de 2008. Soit un temps de stockage qui nous parait très long, 7 ans ! Espérons que les pirates n’ont pas atteint les données du « partenaire » de 2014. Pourquoi cette crainte ? Les pirates, avant de repartir ont précisé qu’il y avait « 4 061 032 logs contenant des cartes » dans les données qu’ils étaient en train de télécharger. TF1 a préféré faire fermer, ce samedi, l’accès à cette boutique. Pour les « techniciens », les deux failles étaient les suivantes [Je peux les montrer, elles ont été corrigées, ndr] : http://abonnement-presse.tf1.fr/magazine/abonnement.asp?idtitre=%27 et http://abonnement-presse.tf1.fr/magazine/detail.asp?idTitre=1688%27.
Inquiétant, dans un article paru dans le Figaro, ViaPresse indique que les RIB qu’annoncent posséder les pirates, auraient été volés à d’autres « partenaires ». Voilà qui en fait des fuites, via deux SQLi. Ci-dessous, la capture communiquée par les pirates [J’ai caché les informations sensibles comme l’IP, l’identité et ce qui semble être des données bancaires non cachées par des croix.
Les deux membres du groupe LinkerSquad affirment sur Twitter que les mots de passe qu’ils ont subtilisés servent aussi d’accès aux comptes utilisateurs du site de TF1. Pour le prouver, ils ont diffusé des accès de membres du site de la chaîne privée. Autant dire que nous vous conseillons fortement de changer votre mot de passe si vous êtes des abonnés à ce portail.
Qui sont ces pirates ?
Assurément jeunes, avec l’envie de faire parler d’eux, de montrer qu’ils sont capables de taper sur les grands de l’Internet. Ils ne cachent pas le fait qu’ils revendront les données qu’ils ont pu voler. A qui ? Les choix sont multiples. Le Black Market (Commerce de données piratées, ndr) reforge de possibilités d’acquéreurs de ce genre d’informations. Les mails, pour un phishing. Les IP, pour tenter d’infiltrer les ordinateurs. Les numéros de téléphones fixes ou mobiles pour des arnaques diverses et variées. Bref, de quoi enrichir les nouveaux escrocs du numériques. Nous avons demandé à ces « flibustiers » 2.0 si la crainte de la justice n’était pas un frein à leurs actions ? « Non, nous n’avons pas peur de la justice étant donné que nous nous sommes déjà fait arrêter dans le passé. Avant de recommencer tout ça nous nous sommes posés les bonnes questions et nous avons décidé que nous étions prêts. » Vous avez dit inconscient ? Si ces derniers résident sur le territoire Français, ils risquent 5 ans de prison et 350.000€ d’amende.
Pour rappel…
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226-17 du code pénal) ; Les données personnelles ont une date de péremption. Garder des fichiers plus d’un an n’est pas pensable. Pour rappel, la CNIL indique que le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.
Pour finir, seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal.
Pingback: ZATAZ Magazine » Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données
Bonjour
J’ai un compte sur tf1.fr
Je ne sais ps ce qu’est « kiosque » je ne me sers pas de ce service.
Dois je modifier mom mot de passe ?
Merci
Bonjour,
Non, pas d’inquiétude, ce n’est pas le site TF1.fr qui a été touché directement, il n’a servi « que » de rebond pour viser les données d’un prestataire. Pour ce qui concerne votre mot de passe, je conseille toujours de modifier ses mots de passe au moins une fois par trimestre, par précaution.
Bonjour,
J’ai malheureusement un compte sur ViaPresse, j’ai donc immédiatement modifié mon mot de passe sur ce site et devinez quoi? J’ai reçu dans la foulée un mail contenant mon nouveau mot de passe… en clair! Pas étonnant que ce site se soit fait piraté, vu les normes de sécurité qu’ils appliquent… Ayany un abonnement en cours, il m’est difficile de clôturer mon cmpte, heureusement pour moi, la vcarte bancaire qui avait servi à régler cet abonnement est expirée car, bien qu’elle ne soit pas censée être enregistrée sur le site, vu leur peu de rigueur en matière de sécurité, je ne suis pas très rassurée….
Bonjour,
Chaque site Web commercial devrait obligatoirement être audité avant sa mise en ligne ou à chaque mise à jour, afin de garantir que les données personnelles ne puissent pas être récupérées par des pirates.
Je pense mais ça ne tient qu’a moi que les utilisateurs lambda des services internet ne savent pas que leurs données personnelles peuvent être vendues par les pirates.S’ils le savaient peut être qu’ils feraient beaucoup plus attentions.
Une simple faille SQL… Renversant. Et des mots de passe en clair d’après les rumeurs.
Franchement, je veux pas me mettre du côté des pirates, mais les développeurs devraient eux aussi faire des efforts ! Je pense que c’est le B.A.BA de la sécurité quand on développe un service web de hacher les mots de passe, et vérifier quelques failles basiques comme SQL ou XSS…
Bonjour,
J’ai ouvert un compte le 17.12.14 sur le site viapresse pour un abonnement et non via le site de TF1, suis-je concernée par ce vol de données ?
Merci
Il faut poser la question à ViaPresse.
Pingback: ZATAZ Magazine » Un espace commercial de TOTAL piraté
Pingback: ZATAZ Magazine » Fuite de données pour France Télévision