Piratage massif pour des centaines de sites Français

Quel est le point commun entre plusieurs dizaines de mairies françaises, Carrefour et le président du groupe politique UPR ? Des pirates ont réussi à installer de fausses pages dans les sites officiels afin de diffuser des contrefaçons.

Des pirates dans votre site ? Je vous racontais en avril 2019 l’infiltration du site web officiel de la Commission Européenne. Des pages pirates dirigeaient les internautes vers de fausses vidéos. Ce même type d’attaque avait impacté des nombreux sites Français à l’occasion de la Coupe du Monde de Football Féminin 2019.

Voici une nouvelle vague. Si les cyberattaques citées plus haut étaient orchestrées par des malveillants originaires des pays de l’Est, le nouveau cas que va vous révéler ZATAZ semble avoir été mis en place par des pirates asiatiques.

Plusieurs dizaines de mairies

Dans le lot des victimes de cette infiltration malveillante, les villes de Roubaix, Preuilly, Sallaz, Pont du casse, Biscarrosse, Hesingue, Limoges, Tavegny, La Pesse, Sainte Eulalie, Aube, Sainte Croix de Quintillargues, Souvignargues, Lauterbourg, Bessans, Le chautay, Ferriere la grande, Chalamont, Saint Antoine sur l’isle, Jabreilles-les-bordes.

Les autres cas référencés : la Maison régionale de l’eau de Provence-Alpes-Côte d’Azur. Côté politique : le site de l’UPR, et plus précisément son espace TEST; l’Ambassade du Togo en France. Le Département de la Seine et Marne, ou le Conseil Général 35 via relation-usagers.fr.

La grande distribution n’a pas été épargnée. La société Carrefour s’est retrouvée avec des dizaines de fausses pages via le sous-domaine « jeukdo.carrefour.fr« .

Sans parler de centaines de sites web de PME/PMI (PolyPro France, CSSI, IdraFroup, trisomie21 France, celusol France Energie, e2i, Hestia…) et autres confédérations professionnelles, comme celles des planteurs de betteraves ou ipm potato groupe.

La santé (continuum, Solutions medicales, cgt-hopital-manosque.fr…)

J’avoue que le nombre d’entreprises des secteurs « industriel » et « énergie » a de quoi intriguer. Un hasard ou leurre qui cache une infiltration plus sournoise ?

Des pirates ? Un Ninja !

Qui se cache derrière cette attaque ? Difficile de cibler. L’originalité se situe dans les pages malveillantes. Toutes proposées en langue japonaise.

Des infiltrations ayant pour mission d’attirer les japonais vers des contrefaçons de smartphones, de logiciels, de médicaments et autres faux Vuitton. Du « black seo » pour réorienter les internautes vers des boutiques illicites. Certaines pages exécutaient un code malveillant comme a pu nous l’indiquer l’antivirus GData (Trojan.Script.1006652/Trojan/PHP.WebShell). Un code malveillant aperçu la première fois en mars 2019.

Étonnant encore, la présence d’un groupe de pirates (Electronic Thunderbolt Team) comprenant des Égyptiens, Algériens … Des traces retrouvées dans certains sites modifiés me laissent songeur. Comment ces deux entités malveillantes peuvent-elles se retrouver, au même moment, dans les mêmes espaces.

Comme pour le cas de la mairie de Chalamont [capture ci-dessous]. Des Copycats ? Possible ! Mais qui copie qui ?

En attendant, quid des données personnelles sur ces sites ? Les fausses pages ont pu collecter des informations, allant de l’ip, en passant par les informations que des internautes ont pu fournir, en toute bonne fois, pensant être sur un espace officiel.