Fuite de données : plus de 250 000 Français vendus 10€

Une boutique en ligne commercialise plusieurs centaines de milliers de documents privées et sensibles appartenant à des automobilistes Français. Pour quelques euros : carte d’identité, permis de conduire, Contrôle technique, RIB, …

Il y a plusieurs mois je vous montrais en exclusivité plusieurs boutiques pirates commercialisant des données bancaires de Français. Une vente orchestrait comme dans un supermarché virtuel. Il suffisait de rentrer un code postal et de payer quelques euros pour accéder, par exemple, au compte du client infiltré, à ses courriels, …

Depuis, les boutiques ont évolué. Comme j’ai pu vous le révéler, des boutiques spécialisées dans la vente de célibataires. La dernière boutique en date que j’analysais pour une conférence donnée en Martinique, voilà quelques jours, affichait dans ses descriptifs d’avant vente, en plus de la banque, du code postale de la victime, le nom de famille de cette dernière [ma capture écran ci-dessous].

Aujourd’hui, une autre boutique pirate. Cette fois, ce portail black market affiche une proposition commerciale encore plus ciblée : des documents administratifs de centaines de milliers de Français. Pour 10 euros, les blacknautes (escrocs, voleurs de voiture, …) peuvent acquérir l’identité complète d’une personne avec, selon les options, numéros de téléphones, adresses électroniques, code postal, date de naissance, adresse postale, informations bancaires de type BIC/RIB, permis de conduire, carte d’identité, …

Spécialisation automobile

Comme l’écrit le pirate « Nous vendons des packs de documents, tous les documents sont réels. » et il en a beaucoup ! 255 000 exactement. D’où proviennent ces documents ? « Nous ne souhaitons pas préciser la source de ces documents. » précise-t-il. Un garagiste ? Un assureur ?

Parmi ces documents administratifs, le parfait nécessaire du « maquilleur » de voitures volées avec des milliers de certificats d’immatriculation, de relevés d’information d’assurance, de cartes grises, de type et marque de la voiture de l’internaute piraté, les contrôles techniques …

A la vue ds fautes et de certaines erreurs que je ne citerai pas ici, l’instigateur de cette vente ne semble pas Français. Le site est proposé en Anglais et Français. Il passe par Tor afin de cacher sa géolocalisation. Une version web existe, cachée derrière l’anonymat (tout relatif) du service proposé par la société américaine Cloudflare.

Les ventes se font en cryptomonnaie (Bitcoin). Un service aprés vente est disponible. Il indique permettre un remboursement « si un des documents est illisible ou expiré« . Les 255 000 packs vendus ne le seraient qu’une seule fois, afin de promettre une fraîcheur et exclusivité à l’acheteur. Une boutique aux 0days administratifs qui pèsent tout de même 2 550 000 euros !

Le service veille ZATAZ à sous surveillance plusieurs milliers de sites pirates officiant dans le darknet comme sur le web : black market, forums, réseaux sociaux (Télégram, Discord, …). Le Service Veille ZATAZ vous permet d’être alerté en cas de fuite d’une de vos informations (comme via ce genre de site). Il aide à mettre en place les actions de contre mesure et de dépôt de plainte auprès des autorités compétentes en France, Belgique, Luxembourg ou encore Québec.

Ce que dit la loi

Nous avons à faire dans ce cas à du recel de vol. De la transmission, vente mais aussi détention et achat d’un pack aux contenus que l’on sait issue d’un vol. L’article 321-1 code pénal indique dans son alinéa 1er «Le recel est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit ». Comme le rappel le site « Service Public » Français, une personne ayant acheté un objet qui s’est avéré volé peut être considérée de bonne foi si elle prouve qu’elle ignorait l’origine illégale du bien. Autant dire que dans ce cas, c’est un peu raté ! Le recel est puni de 5 ans de prison et 375 000 € amende.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.