Mise en vente de plus de 10 000 sites web piratés

Des pirates informatiques mettent en vente les contenus volés à plus de 10 000 sites web. Les bases de données et les internautes vendus entre 10 et 1 000 $.

Alors que les cyberattaques par ransomwares sont devenues légions, il est oublié les autres intrusions numériques. Depuis des années j’alerte sur les centaines de fuites d’informations qu’il est possible de croiser dans le darknet, darkweb et sur le web. Force est de constater qu’elles sont de plus en plus nombreuses. Le business des pirates est fleurissant et n’est pas près de se tarir au plus grand malheur des internautes. Si au Canada, deux employés de Shopify ont été mis à la porte, ils récupéraient les informations de clients commerçants (le FBI a été saisi, NDR), sur le web, les « malveillants » forment une grande famille qui ne cesse de grossir.

Comme j’ai pu vous le montrer dans La Cyber Emission E03S05, les pirates se professionnalisent. Nous avons visité, dans la dernière émission [Replay ici] le quartier général d’un groupe de Brésiliens avec leurs outils, les BDD disponibles, …

Avec le rançonnage, nous avons aussi une preuve tangible de l’industrialisation du piratage informatique. Quand on découvre que des groupes comme Maze ou encore Conti affichent à eux deux plus de 400 entreprises sous chantage, en à peine 6 mois, on ne peut plus appeler ça du piratage de grenier ! Et pourtant, ces actes sont monnaies courantes depuis des années. C’est oublier, par exemple, les exactions du groupe Rex Mundi, voilà cinq ans !

Faites passer la monnaie !

Lors d’une recherche pour le Service Veille ZATAZ, une vente dans un black market privé a attiré mon œil. Pour être très honnête, il n’y a pas une heure sans que l’œil ne soit pas attiré par une nouvelle annonce malveillante signée par des pirates.

Dans ce dernier cas, le groupe, que je baptiserai XData (le nom a été modifié, NDR) propose deux types de vente. La première, des bases de données tirées « d’importants forums » par la planète indique le pirate. Les contenus : identités, mails, mots de passe (certains en clair), IP …

Des informations de membres d’un site Québécois vendues par le pirate. – Source : zataz.com

Je peux être précis dans ces éléments constituant les bases de données mise en vente dans la mesure ou le pirate m’a communiqué des échantillons. Il ne sait pas qui je suis, mais comme tout bon vendeur il propose, comme chez votre parfumeur, de quoi attirer l’acquéreur. Les tarifs varient selon la taille, la fraîcheur, la notoriété  de la victime numérique et le contenu des bdd volées. Entre 10 et plusieurs centaines de dollars.

J’ai pu analyser « Un forum Français dédié à la nature » [+ 5 000 membres] ; « Des forums français regroupant + 20 000 abonnés » ; « Un forum Starcraft anglophone » [+28 000 membres] ; « Un forum sans nom dédié à un logiciel populaire » [+88 000 membres] ; « Un espace Québécois » [Prêt de 10 000 inscrits] ou encore « Un forum pour adultes basé en Allemagne » [+200 000 membres]. Des échantillons qu’il a caché sur le site 0Bin, un portail de type Pastebin. Il permet le stockage d’informations. Des données chiffrées, qui peuvent être auto détruits. Pas de référencement possible par les moteurs de recherche. Les fichiers ne sont disponibles qu’à la condition de connaître l’adresse web exacte.

Un des nombreux forums Français que vend le pirate. Source: zataz.com

Le black hat précise que les informations, une fois achetées, ne peuvent être revendues.

Ces échantillons ont été passés à la moulinette du Service Veille ZATAZ. Aucuns des comptes présents (mails, mots de passe) n’étaient référencés. A noter que nous avons alertés les personnes présentes dans les échantillons pour qu’elles puissent rapidement corriger, et aussi permettre à ZATAZ de retrouver la trace des sites infiltrés.

Ils partîmes cinq cents ; mais par un prompt renfort – Ils se virent trois mille en arrivant par vos ports

Dans la seconde vente, nous passons à l’industrialisation 2.0. Plus de 10 000 sites piratés. Il s’agit de blogs et de forums diverses et variés. Certains sites n’existent plus [20% des cas]. De nombreuses « petites » boutiques, des cabinets d’avocats, des blogs sur la mode, les voitures, des clubs de sport.

Les hackers malveillants se sont faits un malin plaisir, semble-t-il, de vider les contenus sauvegardés via des CMS et outils web non mis à jour, comme VBulletin par exemple. Pour rappel, une faille XXL a permis le vol de MILLIONS de données voilà quelques mois.

Les piratages ne sont pas datés, certains semblent avoir plusieurs années, d’autres quelques jours.

J’ai pu mettre la main sur la liste des « vendeurs ». Toute la planète y est représentée : français, canadiens, belges, chines, USA, … et même Russes. Il faut dire aussi que les pirates d’Amérique du Sud et de la région des Philippines se moquent comme de l’an 40 des frontières. Il semble que ces commerçants soient originaires de ces contrés.

Au moment du paiement, en cryptomonnaie, il faut passer par l’outil Keybase (Outil appartenant à ZOOM) pour leur parler. Outil très étonnant pour les transactions. Il permet, entre autres, de chiffrer et anonymiser les communications. Ils ont tellement « peur » de rien, que ces pirates ont même référencé trois machines via Keybase au mois d’août et septembre 2020 (dates de leur première mise en vente).

Pour contacter les pirates, et les payer, il faut passer par l’outil Keybase. – Source: zataz.com

Il devient compliqué d’en dire plus. D’abord pour éviter d’attirer les curieux qui pourraient avoir envie de « contacter » les sociétés ; Enfin et surtout, parce que de nombreux sites piratés n’ont pas réagi à mon courriel. Ils ont TOUS été alertés. L’obligation d’informer la CNIL et les autorités de leur pays respectif prime plus que de les afficher dans un post de blog.

A noter que les membres du Service Veille ZATAZ ont été avertis à la suite de la découverte afin de prendre les mesures adéquates.

Certaines bases base de données piratées et vendues n’avaient que quelques heures au moment de la découverte de cette vente malveillante par ZATAZ.

Que faire ?

Comment se protéger ? Comment éviter de finir dans les mains de pirates ? Attention à vos mots de passe ; utilisez un mail par service exploité ; ne vous inscrivez pas n’importe où, au risque de finir n’importe où. Vous aurez beau avoir le plus long et compliqué des mots de passe ; d’exploiter la double authentification (indispensable), c’est oublier le reste de vos informations que les pirates pourront piller, utiliser, revendre sans vergogne.

Je finirai par cette image. Vous penserez à ZATAZ quand vous reproduirez cette idée.

Prenez votre portefeuille. Imaginez le comme un site web, un forum …

Retirez la carte bancaire et l’argent.

Regardez maintenant le reste des informations protégées par votre stockage de cuir.

Dites-vous que même sans les données bancaires, le reste du contenu de votre porte documents intéressera le moindre pirate qui passe : identité, consommation, carte d’identité, carte professionnelle, carte de fidélité, carte de santé, adresse physique, cartes de visite, photos personnelles, …

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.