Fuite de données au Canada ? Le Grand Nord n’a encore rien vu !

Après le vol de plusieurs millions de données de clients de la société canadienne Desjardins par un ancien employé, je me suis lancé dans la recherche d’informations piratées concernant nos cousins du Canada. Les contenus sont aussi nombreux que les frites dans la poutine !

Une annonce pirate pour du contenu dédié à Desjardins.

Juin 2019, stupeur au Canada. Un ancien employé de la société financière Desjardins avoue avoir volé 2,9 millions de données clients à son ancien employeur. L’enquête policière va remonter à plusieurs ventes d’identités. Mais où sont donc passés les millions de données ? On a pu lire beaucoup de suppositions : marché noir de rue, black market numérique, …

Je vais vous montrer que nos cousins canadiens ont des soucis à se faire concernant leur identité et réputation numérique. Le web sombre dévore leurs données à pleine souris !

Des millions d’informations volées

Quelques jours avant la révélation de ce vol de fichiers à l’entreprise Desjardins, je vous révélais ma découverte dans le black market d’un fichier pirate comportant pas moins de 12 millions de mails et mots de passe appartenant à des Canadiens. Un contenu aux données confirmées par mes amis et camarades du Hackfest et de la French Connexion. 12 604 160 adresses mails et mots de passe dont un grand nombre était cependant ancien. L’annonce du vol Desjardins m’a donc incité à regarder d’un peu plus prêt.

Des bases de données, partout

Le business du black market concernant les données personnelles et privées s’articule avant tout sur la commercialisation de la moindre information. Les pirates ne se contentent pas que des données bancaires. Les banques ont redoublé de sécurité pour éviter la ponction des comptes. Message anti-phishing, double authentification, algorithme lanceur d’alerte (paiement à l’étranger, …). Bref, les contre-mesures sont là. Elles obligent les pirates à évoluer. A trouver le moyen de commercialiser les autres données personnelles volées.

Une vente pirate de données « exclusives ».

Sur les plus de 3 000 sites pirates, black market … mis sous surveillance par le Service Veille ZATAZ, j’en ai extrait 27 au hasard. Les critères de sélection : langues (FR, US et RU), nombre de participants (+5 000 membres) et produits proposés (seulement des datas).

Via ces 27 espaces pirates, j’ai récupéré 103 bases de données ne contenant QUE des informations de Canadiens pour un total de 5 588 890 logs uniques. Par logs, comprenez comprenant au moins 2 informations d’identifications (mail, adresses postales, login, mot de passe, téléphone, …). Dans ces 5 500 000 lignes, 68 742 adresses mails en gc.ca ou gov.ca.

Comme dans le commerce licite… le vendeur pirate fait de la publicité !

Cibles

Après les bases de données que j’ai pu récupérer (sans payer et sans que les pirates ne le sachent, NDR), les boutiques de données de canadiens. Dans les ventes pirates de données, en tête, les informations appartenant à des porteurs de cartes Petro Canada, Domino Pizza, Mcdo et Canada Scene. A noter aussi deux espaces proposant la revente d’accès clients à Post Canada.

L’un des vendeurs croisés m’a expliqué ce qu’il proposait pour Petro Canada « l’adresse mail du client, son mot de passe, son identité, son numéro de carte et les points qu’il a su cette carte ». Les informations sont commercialisées 38$ CA (24€). « Toutes mes cartes ont plus de 10 000 points ». Il faut savoir que ces crédits valent 1$ par tranche de 1 000 points.

La vente de « points » Scene, un business pirate qui semble très juteux !

Même ambiance pour la vente des données de clients des deux restaurants rapides ou encore des complexes cinématographique Scene. Dans ce dernier cas, le vol et la revente d’informations clients sont devenues une véritable industrie parallèle.

Deux boutiques, des « auto shops » permettent de récupérer des codes points qui permettent de profiter de réduction Scene. L’une des boutiques, après paiement, communique une clé qu’il faut ensuite envoyer à une adresse Telegram tenue par un robot (bot) qui communique ensuite les données « Vous recevez une image de l’application Android contenant toutes les informations dont un employé aura besoin pour échanger vos points (volées), explique le vendeur. « C’est le même processus que si vous étiez le propriétaire du compte. Vous montrez le code à barres et dites au caissier que vous souhaitez échanger des points ». 1 000 points équivalent à 10$ de rabais dans les restaurants de la chaîne; 500 points permettent d’économiser sur le compte d’autres clients, 5$.

Faux papiers

Les faux papiers sont aussi légion. Sur les 27 boutiques et sites pirates, sept propositions pour réaliser un permis de conduire, une « social card » (le numéro d’assurance sociale). Impossible de connaître la véracité et qualité des « produits » proposés. Six cas sur sept revendaient des PDF modifiables des pièces d’identités. Les acheteurs sont là à la lecture des avis et notes reçues par certaines boutiques. A noter que lors de mon enquête, un homme de 32 ans était arrêté à Sherbrooke. L’individu, équipé de documents achetés dans le black market, a tenté d’ouvrir un compte à la Banque de Montréal. Des données d’un autre client volé chez Equifax !

Une publicité… pour des donnés piratées !

Canada et données bancaires

Les informations bancaires sont bien évidement présentes. On les retrouve dans des boutiques dédiées, elles aussi automatisées. Vous rentrez le type de banque, de carte que vous recherchez et il ne reste plus qu’à payer. Plusieurs espaces proposent des informations tirées « Desjardins » dont une boutique expliquant permettre de « FAIRE VENIR LA DEBIT A TON ADRESSE ». De 1 à 10$ la proposition. Même ambiance pour les autres banques, comme optimum.ca qui se retrouve avec des données (mail et mot de passe) revendus 20$. Une autre boutique fournissait plus de 7 000 porteurs de cartes bancaires. Chaque canadien, dans cet « auto-shop», est commercialisé entre 17 et 25$.

Certains espaces pirates proposent de taper le nom d’une banque, une ville… pour viser des clients d’une région précise !

Numéros de téléphones

Trois sites diffusent des centaines de numéros de téléphones, avec les identités. Des « échantillons » gratuits pour attirer les potentiels acheteurs. Des données interceptées, m’a indiqué un membre d’un forum, via les failles qui pullulent sur certains sites. Il a cité, à un moment Air Canada, mais sans m’en dire plus. Parlait-il de la faille découverte, en 2018 ?

Pour quelques dollars, l’identité volée sera exploitée par des malveillants !

Canada en photos

Je finirai par les infiltrations malveillantes à des fins particulièrement honteuses : la revente de photos intimes volées. L’un des espaces pirates a diffusé un accès Mega qui propose des centaines de photos intimes de canadiens et canadiennes. Des documents volés lors d’infiltrations de réseaux sociaux, cloud et autres comptes mail. Il semblerait que des pirates se soient spécialisés dans amateurs et amatrices de réseaux sociaux montrant des photos sexy. Les pirates espèrent en trouver plus après piratage. A première vue, ils ont l’air de faire très souvent mouche.

Des clouds/mails de canadiens/canadiennes infiltrés pour voler des photos intimes !