Découverte de 950 millions de données d’internautes

Posted On 08 Sep 2019

Tag: clinique, data leak, fuite, hopital, infiltration, mail, mairie, mot de passe

Pour les amateurs de bandes dessinées « Il est frais mon poisson, il est frais » devrait vous rappeler les pages d’Asterix et Obelix. Cette fois, je vais modifier ce texte par « Elle est fraîche ma donnée, elle est fraîche« . Dans la nuit de samedi à dimanche, le Service Veille ZATAZ a mis la main sur 958 305 982 données d’internautes.

Données d’internautes dans les mains de pirates ! Le black market explose de propositions commerciales malveillantes. Données bancaires, ventes de médicaments contrefaits (ou pas), documents administratifs (carte vitale, fiche de paie, facture, contrat, …) et autres bases de données piratées de part le monde. Des espaces pirates qui créés de « l’emploi » et des « nouveaux métiers » du cybercrime.

Parmi ces malveillants, les collecteurs et confectionneurs de bases de données. Des compilations d’informations volées aux internautes revendues ou échangées dans le Black Market. ZATAZ a mis la main, dans la nuit de samedi à dimanche 8 septembre 2019, sur plusieurs bases pirates pour un total de 958 305 982 lignes d’informations personnelles.

Données très ciblées

Dans les informations analysées, 4 millions de mails ont été classé dans un dossier spécialement baptisés « Clients sites X » ou encore « AdultX« . Des dizaines de fichiers textes et autant de logins et mots de passe.

Dans les données personnelles, plus de 3 000 adresses en .fr. Autant dire qu’il doit y avoir beaucoup plus de francophones encore passant par du Gmail, Yahoo! et autres webmails. Des adresses qui ont pu ou seront exploitées dans des arnaques de types « Je t’ai vu à poil via ta webcam » ; « j’ai piraté ton ordinateur quand tu visitais un site pornographique« .

Dans les autres contenus rencontrés dans la nuit: 982 adresses mails et mots de passe concernant des Centres Hospitaliers, des cliniques. Des adresses électroniques avec mots de passe ! L’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI), la Commission National Informatique et des Libertés (CNIL) et le Ministère des Affaires Sociales ont été alertés.

Un autre conteneur propose 1 174 informations appartenant à des communes françaises. Adresses mails, identités et mots de passe. Dans la liste (non exhaustive): Paris (5), Nice (42), Saint-Denis (4), Cannes (9), Lille (24) …

Données d’internautes : son nom est personne !

Les pirates n’expliquent pas la provenance exacte des informations piratées. Les mots de passe sont, dans tous les cas, et dans 90% des fiches analysées, plus simples qu’une oeuvre d’Yves Klein.

Les risques ? Ils sont très nombreux.

Déjà, identifier une personne, son poste et son employeur !

Ensuite, les mots de passe. Des fuites qui permettent à un pirate de se créer un dictionnaire. De tester les « passwords » des cibles sur d’autres espaces Internet utilisées par ces mêmes cibles.

Pour rappel, 7 personnes sur 10 utilisent le même mot de passe sur l’ensemble des outils informatiques utilisés. Les mêmes personnes qui « hurlent à la mort » quand elles perdent, même 10 secondes, leur trousseau de clés physiques.

ZATAZ proposent de veiller sur vous et vos données personnelles en surveillant les réseaux pirates. En savoir plus.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.