Des pirates de l’administration fiscale devant la justice

Des pirates français devant la justice pour avoir tenté de piéger des contribuables français. Préjudice pour l’administration fiscale, plus de 200 000 euros. Une histoire de combos de password achetés dans le darkweb !

L’accès aux espaces personnels des particuliers sur le site des finances publiques a été verrouillé de manière plus rigoureuse à la suite d’une attaque informatique. Nous sommes alors en 2019. L’affaire de fraude au crédit d’impôt, qui en est résulté, est en voie de conclusion judiciaire comme l’explique Gabriel Thierry, sur ZDnet.

En 2019, l’administration fiscale avait diffusé une alerte concernant ces agissements.

Deux français sont poursuivis pour leur rôle présumé dans ce piratage pas comme les autres. L’un des prévenus, un informaticien, a plaidé coupable d’avoir automatisé l’attaque à l’aide d’un logiciel gratuit accessible en ligne. Les deux suspects sont également accusés d’avoir commis une escroquerie en bande organisée, mais un seul a été représenté par un avocat, qui a plaidé la relaxe.

Combos par-ci, combos par-là

L’enquête a révélé que les deux prévenus avaient obtenu l’accès à environ 11 000 comptes de messagerie en utilisant des identifiants et des mots de passe acquis gratuitement ou achetés en ligne. Des combos (regroupement de milliers d’identifiants de connexion) qu’il est possible de trouver sur le web et dans le darkweb par millions ! Souvenez-vous de ma découverte de 100 millions d’adresses électroniques et mots de passe, il y a quelques mois !

Les prévenus ont utilisé cette matière première pour tenter de frauder environ 2 000 contribuables en falsifiant leurs déclarations fiscales, avant d’être arrêtés par les autorités. Le complice de l’informaticien devait ouvrir des comptes bancaires en Belgique pour recueillir les fonds, mais a rencontré des difficultés logistiques pour le faire. ZATAZ vous a expliqué la méthode, dans l’émission de Julien Courbet, en janvier dernier.

L’enquête a également révélé que les deux suspects étaient actifs sur les marchés noirs, où ils ont tenté de vendre des certificats de fausse déclaration d’employés et de fausse certification de voitures, et ont tenté de hameçonner des clients d’une banque. Cependant, ces activités ont été jugées hors du cœur de métier de la DGSI, l’agence de sécurité intérieure chargée de l’affaire, et n’ont donc pas été poursuivies. Les prévenus risquent jusqu’à trois ans de prison, dont deux avec sursis, pour les charges qui pèsent contre eux.

Exemple de boutique pirate commercialisant des identifiants de connexion. Capture : zataz.com

Jugement, le 15 mai

Après deux jours d’audience, la décision a été mise en délibéré et sera rendue le 15 mai 2023. Les réquisitions contre les deux prévenus s’élèvent à trois ans de prison, dont deux avec sursis. L’affaire a coûté cher à l’administration fiscale, qui a chiffré son préjudice à plus de 225 000 euros, représentant le salaire des 2 620 heures travaillées pour résoudre la crise et les 20 000 euros de préjudice moral demandés.

Les activités menées par les deux suspects sur les marchés noirs ont été minimisées par l’un d’eux, qui les a décrites comme un simple « brainstorming », bien que les enquêteurs aient découvert des tentatives de vente de faux certificats et de hameçonnage de clients de banques. L’un des prévenus a également expliqué que l’élément déclencheur de leur comportement était l’ennui.

Ce piratage de comptes est un grand classique, malheureusement. ZATAZ vous en parle depuis des années. Et l’affaire Vinted, en est un autre exemple concret.

Une histoire de combos

217 000 comptes par ici ; 982 000 comptes par là. Je vous expliquais, il y a déjà deux ans, comment j’avais découvert un pirate informatique « presque » pas comme les autres. J’avoue que sa passion est assez limitée. Sa collection se base que sur deux éléments : les mails et les mots de passe appartenant à des comptes en .fr. Comme le montre ma capture écran ci-dessous, il adore afficher ses prises au moment de leur vente ! J’ai « caviardé » le nom des entreprises pouvant apparaître. Evitons d’attirer d’autres malveillants sur ce cas.

67% de comptes jamais piratés

Cet homme, qui indiquait avoir une trentaine d’année a déjà pu mettre en vente, exactement, 4 713 925. Un chiffre très précis, et pour cause. Un mois aprés chaque vente, il met à disposition, dans son cercle d’initiés, les fichiers. Des combos qui, aprés analyse, regroupent 67% de comptes jamais croisés auparavant. Mais qui sont ces gens piégés aussi facilement ? Vous, moi, vos voisins, vos cousins, vos collègues ! Ce pirate Russe ne ferait que dans le phishing !

Les données vendues sont utilisées dans des attaques de masse. Les cyber criminels recherchent, grâce à ces combos, des accès, via ces informations de connexion. Ils tentent de se connecter à d’autres contenus facilement exploitable (accès courriels, accès réseaux sociaux, accès sites web …). Vinted, les impôts, votre resto …

57 000€ en 10 mois

Bilan, avoir un mot de passe et un mail unique pour chaque site utilisé semble indispensable pour ne pas finir sous les coups malveillants. Seulement, qui le fait vraiment ? Pas ces 4 millions de français, ça c’est sûr ! Pourquoi ce pirate n’utilise-t-il pas lui même ses pêches miraculeuses ? Rien n’indique qu’il ne le fait pas. Chose est certaine, il préfère commercialiser 10 fois un combo 100 $ (moyenne des prix et de vente constatés par document). Cela fait tout de même 1.000€ le combo x les 57 vendus depuis novembre 2020. Je vous laisse faire le calcule. Cela laisse de quoi voir venir la neige (spoile : 57.000€  en 10 mois).

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.