phreaking hacked

Phreaking : 80000€ volés via le téléphone de la Mairie de Saint-Malo

Le phreaking, le piratage informatique spécialisé dans la téléphonie n’est pas une histoire des années 80 ou pour téléphoner gratuitement via une cabine téléphonique il suffisait de crier dans le combiné. La Mairie de Saint-Malo vient de perdre 80000€ après le piratage de son standard téléphonique.

Imaginez la tête du Maire et de son Directeur des Services par phreaking : « Monsieur le DGS, nous avons une facture de 80000 euros, nos budgets étant pléthorique et la baisse des dotations de l’état n’étant plus qu’un lointain souvenir, nous allons payer sans problème !« . La mairie de Saint-Malo vient de découvrir les joies du piratage téléphonique, le phreaking.

Un malveillant, via son PABX, bref son standard, a trouvé le moyen d’orchestrer des appels sur le compte de la commune bretonne. C’est le montant faramineux de la perte d’argent qui a obligé le Maire à en informer les élus leur du conseil municipal. Le piratage a eu lieu en mai 2016, durant quatre jours. L’édile et son sbire, le DGS, avaient gardé la chose secrète. Les administrés apprécieront !

Les phreakers, les pirates spécialisés dans la téléphonie, ont permis à des « boutiques » et des « clients » d’appeler en Afrique et en Amérique du Sud. Pour cela, le pirate a d’abord mis la main sur le standard, puis revendu des accès à ce dernier. Pour la prise en main d’un standard, pas bien compliqué. Il suffit souvent de quelques manipulations de touches, comme le dièse, pour arriver dans l’administration d’un standard non sécurisé.

La mairie a tout simplement oublié de changer le mot de passe usine, ou ne connaissait pas le mode d’emploi de son matériel.

Dans les appels d’offre, il serait bon de mettre aussi des formations à la sécurité informatique et à l’utilisation des matériels numériques mis en place. « C’est une charge que nous n’avions évidemment pas prévue, à laquelle nous allons pouvoir faire face. Exprime le 1er adjoint de Saint-Malo à l’antenne de France Bleue. Nous allons voir ce que les assurances peuvent produire comme aide, le dossier est loin d’être clos« .

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients. Oublier de leur expliquer comment changer le mot de passe usine du standard ou oublier de mettre en place les patchs de sécurité deviennent une faute.

Un arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre a condamné un de ses intégrateurs pour faute par négligence. Le tribunal a obligé la société de maintenance à payer la somme volée, soit plus de 12000€ : « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder« .

En France, il se compte sur les doigts d’une main les entités territoriales avouant ce type de piratage : 5000€ pour la MJC de Nancy, 15000€ par les communes de Pessac et de Licques, 43000 pour le conseil départemental des Deux-Sèvres. Et je ne vous parle pas des standards piégés qui renvoient les administrés sur le bon service, mais le pirate s’est arrangé pour que l’appel passe par un espace surtaxé [Cas vécu par votre serviteur].

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pierrick Reply

    Ce qui est étonnant, c’est que l’opérateur n’est pas bloqué les appels lorsque les consommations ont commencée à exploser.

    Pour avoir subi ce type d’attaque, mon opérateur avait bloqué les appels internationaux lorsque les sondes ont remarqué des anomalies (appel vers Cuba durant le weekend).

    Il a fallut que je prouve la sécurisation de mon standard pour réactiver l’option.

    J’avais également porté plainte pour vol d’unité téléphonique, mais le préjudice était mince, 800€, cela à était classé sans suite.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.