Piratage de France Travail : Voici comment les pirates ont pu opèrer !

L’arrestation de trois jeunes pirates informatiques français dans l’affaire des 43 millions de données de France Travail rappelle que l’infiltration d’un système informatique peut sembler être un jeu d’enfant. Découvrons ensemble comment les pirates agissent, et ce n’est guère brillant.

           RECEVEZ, LE SAMEDI -> CLIQUEZ ICI <- LES ACTUS ZATAZ DE LA SEMAINE.

Il n’est pas certain que les trois pirates informatiques arrêtés par la Police Judiciaire le 13 mars 2024, soupçonnés d’avoir infiltré un système de France Travail (anciennement Pôle Emploi / ANPE), aient employé la méthode que je m’apprête à décrire. Les possibilités de malveillance numérique sont innombrables. Pour se protéger, il est crucial de connaître les techniques principales.

Ils ne sont ni Ukrainiens, ni Russes, ni Chinois, encore moins membres d’un groupe de pirates informatiques chevronnés. Les deux premiers suspects s’appellent Oualid et Adil C. (frères de 21 et 23 ans). Deux chômeurs, connus pour escroquerie à la carte bleue. Les deux hommes vivaient à Valence, chez leurs parents. Le troisième personnage, un jeune adulte de 22 ans, étudiant dans une école de commerce. Ils se seraient d’abord introduits dans le système informatique de Cap Emploi, une filiale de l’organisme, avant de récupérer les données de millions d’utilisateurs.

Mais comment des pirates peuvent-ils réussir une telle infiltration ? Comme je l’ai expliqué sur RFI, le hack du cerveau par le Social Engineering ! Comme je l’ai expliqué dans ma chronique sur M6 et RTL dans « Ca peut vous arriver« , des informations qui ont pu servir [ou auraient pu servir] à des arnaques phishing aux couleurs de France Travail/France Connect.

Hameçonnage

Ah, le fameux courriel piégé avec son lien renvoyant sur un site frauduleux. Un grand classique. La partie la plus délicate est, si l’on peut dire, de trouver l’adresse électronique qui ciblera au plus près la future victime. Le BEC (Business Email Compromise), ou courriel usurpateur d’entreprise, s’avère le plus efficace. Il est d’autant plus facile de convaincre l’interlocuteur si ce dernier se trouve dans un environnement graphique familier. N’oubliez jamais : attaquer le cerveau, c’est exploiter sa réticence à réanalyser ce qu’il connaît déjà.

Stealer

Cheval de Troie, Trojan, RAT, stealer… Ces termes techniques en cybersécurité, souvent galvaudés par le marketing, désignent tous un type de logiciel espion. Comme je l’explique depuis des années, piéger des internautes n’a rien de compliqué. Il suffit de jouer sur leurs envies, leurs frustrations, et le tour est presque joué. L’envie d’obtenir le dernier logiciel, jeu ou film à la mode sans payer est aussi ancienne que l’ordinateur lui-même.

Ainsi, la diffusion de codes malveillants via des outils de piratage (cracks) de jeux populaires comme Fortnite, Apex Legends ou de logiciels comme Photoshop constitue un appât aussi massif qu’efficace. Les cibles, de 7 à 77 ans, sont particulièrement vulnérables, les plus jeunes tombant facilement pour des logiciels de triche destinés à des jeux comme Call of Duty ou FIFA. Par exemple, une récente compétition d’e-sport a dû être interrompue après qu’un pirate a installé un outil de triche sur les ordinateurs des joueurs en plein match.

Le 17 mars 2024, j’ai découvert un espace de stockage utilisé par un groupe de hackers malveillants spécialisés dans les stealers, contenant les données de plus de 50 000 ordinateurs infiltrés et espionnés. Ces groupes sont nombreux, et certains de leurs membres n’ont pas plus de 15 ans.

           RECEVEZ, LE SAMEDI -> CLIQUEZ ICI <- LES ACTUS ZATAZ DE LA SEMAINE.

Servez-vous, c’est moi qui log

Les logs, ces fichiers contenant des informations de connexion (URL : ID : Mot de passe), se comptent par milliards, et je pèse mes mots. Par exemple, le 20 mars 2024, j’ai pu accéder à 1,7 million de logs appartenant exclusivement à des Français. Une analyse rapide révèle 33 323 occurrences du mot de passe « 123456 » ; 20 028 fois « 123456789 » ; et « Azerty » se place en troisième position avec 11 219 cas, ayant au moins le mérite d’inclure une majuscule. Il n’est donc pas nécessaire d’être un génie pour s’immiscer dans les secrets de certains internautes avec de tels mots de passe.

Les trois individus arrêtés, qui, au passage, n’ont peut-être pas dérobé l’intégralité des informations mentionnées dans l’alerte de France Travail, ont peut-être simplement récupéré des logs, ou des combos (regroupements d’informations obtenues ça et là), comprenant des adresses électroniques et des mots de passe, et utilisé ces données pour infiltrer ce qu’ils pouvaient.

Reste à savoir s’ils agissaient sur commande, ou s’ils avaient des acheteurs ou vendeurs pour les informations collectées illégalement. La Police Nationale et le Parquet de Paris sont actuellement en train de démêler l’affaire. À ce jour, aucune base de données n’a été mise en vente ou rendue accessible dans les dizaines de milliers d’espaces surveillés par le Service veille ZATAZ.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.