Cyberattaque sur Direct Assurance ? Un pirate parle de milliers de clients et prospects exposés

Posted On 19 Nov 2024

Un pirate informatique, déjà connu pour ses attaques contre des hôpitaux et le journal Le Point, revendique une nouvelle cyberattaque. Cette fois, il s’en prend à Direct Assurance, un acteur majeur de l’assurance en ligne. L’intrusion aurait eu lieu le 14 novembre 2024, grâce à l’exploitation des accès d’un employé. Le pirate affirme avoir exfiltré les données personnelles de 6 137 clients et 9 517 prospects, qu’il met désormais en vente sur des forums clandestins.

Pour rester informé des dernières menaces de cybersécurité et des meilleures pratiques de protection, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de ZATAZ.

Une attaque ciblée avec des données sensibles en jeu

Dans un message publié sur BreachForums, une plateforme utilisée par les cybercriminels pour échanger des informations volées, le pirate détaille son forfait : « Today, I’m selling Direct Assurance customers/prospect data. Direct Assurance has been breached on 14 November by @near2tlg with employee’s access.«

Les données compromises concernent deux catégories :

Clients de Direct Assurance :
- Noms,
- Adresses e-mail,
- Numéros de téléphone,
- Coordonnées bancaires (IBAN/RIB).
Prospects de Direct Assurance :
- Noms,
- Adresses e-mail,
- Numéros de téléphone.

Ces données sont structurées au format .json, un standard fréquemment utilisé pour les bases de données volumineuses. Selon le pirate, elles sont disponibles à la vente pour un maximum de trois acheteurs. Un « slot » aurait déjà été réservé. Un pirate appartenant à la bande des diffuseurs de données volées à Boulanger, Cultura, Free, Etc. ? Le petit doigt de ZATAZ le démange 🙂

Pourquoi ces données sont-elles si sensibles ?

Les informations bancaires, comme les IBAN ou RIB, représentent une cible de choix pour les fraudeurs. Elles peuvent être utilisées pour des prélèvements non autorisés, des tentatives de phishing ou d’autres escroqueries financières. Associées aux données personnelles (noms, e-mails, téléphones), elles permettent de monter des attaques personnalisées, augmentant leur taux de succès.

Une intrusion facilitée par des accès internes ?

Le pirate revendique avoir exploité les identifiants d’un employé pour mener son attaque. Cette méthode, connue sous le nom d’exploitation des accès internes, est redoutable. En accédant directement aux systèmes via des identifiants valides, les cybercriminels peuvent contourner certaines protections et opérer sans éveiller immédiatement les soupçons. Une méthode fréquemment rencontrée par le Service Veille ZATAZ via des outils de piratage, comme des Info Stealer.

L’ingénierie sociale, un levier clé des cyberattaques

L’accès aux comptes d’un employé peut être obtenu par des techniques d’ingénierie sociale, comme le phishing ciblé ou la manipulation psychologique. Ces approches permettent aux pirates de récupérer des identifiants ou de pousser un collaborateur à exécuter une action compromettante. Selon une étude récente, 90 % des cyberattaques réussies impliquent une faille humaine.

Des risques pour les victimes et l’entreprise

La fuite de données revendiquée par ce pirate exposerait Direct Assurance et les victimes à plusieurs conséquences (Les échantillons diffusés sont inquiétants, mais non confirmés à 100%) :

Pour les clients :
- Fraude bancaire : Les IBAN/RIB volés pourraient être exploités pour des prélèvements frauduleux.
- Phishing ciblé : Les e-mails et numéros de téléphone permettent de monter des campagnes de hameçonnage très convaincantes.
- Vol d’identité : Les données personnelles peuvent être utilisées pour usurper l’identité des victimes.
Pour les prospects :
- Bien que les informations soient moins sensibles (pas de données bancaires), les victimes restent exposées à des tentatives de phishing ou à une utilisation abusive de leurs coordonnées.
Pour Direct Assurance :
- Atteinte à la réputation : Une fuite de données affecte directement la confiance des clients.
- Sanctions RGPD : En cas de non-respect des obligations de protection des données, l’entreprise pourrait faire face à des amendes importantes.
- Pertes financières : Les coûts liés à la gestion de la crise, aux indemnisations et aux éventuelles attaques juridiques peuvent être considérables.

Une menace récurrente venant d’un acteur bien connu

Ce n’est pas la première fois que ce pirate revendique une cyberattaque d’ampleur. Récemment, il a revendiqué le piratage de :

Plusieurs établissements de santé en France et au Luxembourg, avec une fuite de données concernant 1,5 million de patients.
Le journal Le Point, avec des informations personnelles de 915 899 utilisateurs.

Ces attaques, toutes menées en 2024, témoignent d’une méthodologie bien rodée et d’un ciblage précis. Le pirate semble privilégier les entreprises possédant des bases de données volumineuses et sensibles, avec un fort potentiel de revente sur le dark web. Plus ça va, et plus je me demande si ce pirate n’est pas en train de virer toutes les données qu’ils possédaient. Peut-être à la suite d’arrestations dans son entourage malveillant. A suivre 🙂

Comment réagir face à une telle menace ?

La cyberattaque contre Direct Assurance rappelle l’urgence pour les entreprises de renforcer leur cybersécurité. Voici quelques mesures essentielles pour prévenir ce type d’incident :

Renforcer la sécurité des accès internes :
- Imposer l’authentification à plusieurs facteurs (MFA).
- Limiter les privilèges d’accès en fonction des besoins spécifiques de chaque poste.
Sensibiliser les employés :
- Former régulièrement les collaborateurs aux risques liés au phishing et à l’ingénierie sociale.
- Instaurer des protocoles clairs pour signaler toute tentative suspecte.
Auditer et protéger les systèmes :
- Effectuer des audits réguliers pour détecter les vulnérabilités.
- Mettre en place des solutions de détection des intrusions (IDS/IPS).
Chiffrer les données sensibles :
- S’assurer que les informations critiques, comme les coordonnées bancaires, soient protégées par un chiffrement fort.

Une alerte pour tout le secteur

Le piratage de Direct Assurance s’inscrit dans une vague plus large d’attaques contre des entreprises françaises en 2024. Ces incidents montrent que personne n’est à l’abri, et que les cybercriminels redoublent de créativité pour exploiter les failles humaines et techniques. Attention, ils ne sont pas des génies, mais on besoin d’avoir une chance, une seule fois. Les StealerInfo les aidant fortement dans leur tache malveillante.

Pour les victimes, la vigilance est de mise. Il est conseillé de surveiller de près les relevés bancaires, de rester attentif aux tentatives de phishing et, si nécessaire, de demander un renouvellement des identifiants compromis.

Pour Direct Assurance, la gestion de cette crise sera déterminante. Elle devra non seulement sécuriser ses systèmes pour prévenir d’autres attaques, mais aussi rassurer ses clients sur la protection de leurs données à l’avenir. Ce cas doit servir de leçon à toutes les entreprises manipulant des données sensibles : la cybersécurité est désormais un impératif stratégique.

Pour rester informé des dernières menaces de cybersécurité et des meilleures pratiques de protection, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de ZATAZ.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.