Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données

Voilà qui commence mal l’année. Un groupe de pirates du nom de Linker Squad prouve à zataz.com le piratage de l’espace « Magazines » du site Internet de TF1. Les pirates parlent de 1,9 million de clients dorénavant dans leurs mains.

Le piratage informatique n’est malheureusement pas qu’une « histoire » de pirates Nord Coréens, d’espion américain parti avec la caisse (et des ordinateurs portables, ndr) ou encore de vilaines entreprises visant les intérêts économiques de concurrents. Non, malheureusement, la grande majorité des piratages sont orchestrés par des internautes comme vous et moi, souvent jeunes. Ils sont motivés par l’argent, dans la plupart des cas. Le défit est devenu assez secondaire tant les fuites et les failles pullulent sur la toile. Tellement simple, aujourd’hui, avec quelques logiciels de taper dans des bases de données et d’en extirper les contenus.

1 902 987 utilisateurs piratés ?

J’ai été contacté, voilà quelques jours, par un groupe de pirates informatiques qui signe ses actes sous le pseudonyme de Linker Squad. « Notre but est de défier les société victimes de nos piratages, qu’ils se rendent compte de leurs erreurs. » Dernier cas en date que nous pouvons révéler, le site de TF1 et plus précisément son espace « magazines ». Une boutique en ligne qui permet d’acquérir des journaux, de s’abonner via le « Accueil service abonnement TF1 » au Point, aux Inrockuptibles, Time magazine, … Contacté, l’équipe informatique de TF1 aura été très rapide à répondre. La faille, corrigée dans l’heure. « En fait il s’agit d’un service géré par un tiers« , a confirmé la Direction Technique eTF1.

Les pirates ont diffusé plusieurs preuves : mot de passe, mails, ...

Les pirates ont diffusé plusieurs preuves : mots de passe, mails, …

Les informations que j’ai reçu des pirates, sous forme de captures écrans qu’ils ont caché sur la toile, ne laissent rien présager de bon « Les bdd sont des mine d’or, souligne le groupe de pirates. Les données que nous détenons (…) seront sûrement revendues« . Parmi les informations qu’il m’a été possible de consulter, des adresses mails, des mots de passe (non chiffrés). Selon les dires des « visiteurs » des données bancaires, sous forme de RIB auraient aussi été ponctionnées. « Sur les « moyens de paiement », souligne TF1, les informations sont cryptées.« 

Plus inquiétant encore, certains mots de passe récupérés par les pirates ont permis à ces derniers d’accéder à des comptes mails de clients. Les clients ayant utilisé le même « précieux » pour leur compte TF1 et leur webmail. J’ai contacté plusieurs de ces adresses, l’un d’eux m’a indiqué que son mot de passe [que j’ai lu dans l’une des captures écrans des pirates, NDLR] était « inutilisé depuis plusieurs années« . Fait confirmant définitivement ce piratage.

… et nous ne sommes que le 2 janvier !

Les pirates, sur le sol Français, risquent jusqu’à 5 ans de prison ferme et 350.000 € d’amende.

Mise à jour : TF1 a communiqué sur le sujet. Nous en profitons pour faire corriger une seconde fuite.

 

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Quentin Reply

    « vol de 1.9 million de données » Je savais pas que la données était une unité de mesure 🙂

  2. Zaïd Reply

    Encore un système qui a du être construit par un développeur tout droit sorti d’une grande école d’informatique, avec le beau diplôme, mais qui dans la pratique ne sait pas sécuriser les données des utilisateurs…

    • okia Reply

      dans les grandes école on apprend à crypter les mots de passe de manière non réversible (et ni en MD5 ou en sha1) 🙂

  3. johnny Reply

    Des mots en clair en 2015 ça doit-être interdit

  4. Tom Reply

    Ouais ou encore un grand chef de projet qui comprend rien à la technique et laisse ses équipes tout faire avec les pieds. Dans tous les cas dire que c’est la faute d’un petit développeur me semble insensé, c’est pas lui qui est responsable des données de son entreprise. Les audits en sécurité web ça existe mais tout le monde pense que ça ne sert à rien…

  5. enzo92320 Reply

    Je suis client viapresse (le prestataire de TF1), et j’avais pu constater leur légèreté et leur incompétence en termes de sécurité informatique (et pas seulement) puisque, suite à des difficultés de mise à jour, ils m’avaient envoyé mon mot de passe en clair… par mail ! Des champions du monde. C’était il a tout juste 6 semaines.

  6. Axtux Reply

    Et que risque la société pour avoir mis en danger les données de ses clients (notamment en stockant les mots de passe en clair) ?

    Concernant ce site, la désactivation du clic droit est très embêtante. Je ne peux même pas utiliser mon correcteur d’orthographe. Pas possible de faire un clic droit pour ouvrir dans un nouvel onglet. C’est une très mauvaise pratique. Si vous y tenez, désactivez au moins quand rien n’est sélectionné.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.