Piratage : TF1 et ViaPresse communique sur le vol de 1,9 million de données clients

Nous révélions vendredi 2 janvier, en partenariat avec RTL, le piratage d’un espace commercial proposé par le site Internet TF1.fr. La première chaîne de télévision européenne a souhaité répondre par communiqué de presse.

« TF1 a référencé sur son portail un partenaire commercial qui propose des abonnements presse à ses clients. Le site proposant ces abonnements, bien que référencé sous l’URL de tf1.fr, est placé sous le contrôle exclusif de ce partenaire et ce indépendamment de la gestion du site tf1.fr par les équipes de TF1.

Hier, ce partenaire a été victime d’une attaque informatique. Il a pris en charge l’incident dès sa détection en liaison avec les équipes de eTF1, qui ont supprimé les accès à ce site. A aucun moment, les données des internautes inscrits à TF1.fr et gérées par TF1 n’ont été exposées, ni piratées. »

Pour ViaPresse : « Des pirates informatiques ont affirmé avoir dérobé des données clients sur le site
abonnement-presse.tf1.fr. Le site est entièrement géré et hébergé par la société Viapresse SA qui a immédiatement corrigé la faille technique.

Le kiosque abonnement TF1
Créé en 2008 par Viapresse en partenariat avec TF1, le kiosque propose aux internautes de s’abonner à des magazines à tarif préférentiel. Depuis sa création, 6500 clients ont souscrit à l’offre du kiosque abonnement tf1.

Quelles données sont concernées ?
Viapresse précise qu’il ne s’agit en aucun cas des données bancaires des clients du kiosque presse TF1. En effet, Viapresse ne stocke pas et n’a pas accès aux données des cartes bancaires ; les transactions étant effectuées depuis les plateformes sécurisées mise à disposition par les banques. Quant aux abonnements réglés par prélèvement, Viapresse précise que les RIB de ces clients sont stockés dans une base de données cryptée non accessible.

Les données concernées sont : l’identité du client, adresse, email et mot de passe.
Les pirates affirment détenir des RIB Les RIB détenus par les pirates appartiennent à des prestataires de Viapresse et non à des clients du kiosque presse tf1« .

Importante précision effectivement. Heureusement que le protocole d’alerte de zataz a permis de « détecter » cette attaque. A noter que les internautes allant sur le site de TF1 ne sont pas censés savoir qu’ils sont en fait chez un partenaire extérieur, ViaPresse. « Faire appel à la sous-traitance n’enlève en rien la responsabilité de s’assurer des – process de sécu – de celle-ci et des risques » souligne Frédéric Gouth, consultant en sécurité informatique, membre du CLUSIR Aquitaine. Il existe même un ISO (6.2.1) à ce sujet baptisé « Identification des risques liés à des parties externes« . Sans parler de la loi informatique et liberté (CNIL, ndr) et ses articles 34 et 35. Étonnant, les deux iSQL ont permis l’accès à la base de données (BDD) de Viapresse, via TF1.fr, BDD qui comportait donc des données (RIB) appartenant à des prestataires Viapresse ! Voilà des « liens » particulièrement malencontreux pour la sécurité et la vie privée des clients.

Une seconde faille corrigée

Plus inquiétant encore, nous avons dû alerter ce samedi matin la direction technique de TF1 pour une seconde faille, ouvrant elle aussi sur une base de données. D’après les informations de zataz.com, des données de cartes bancaires [heureusement, non complètes, ndr], identités, IP, numéro de transaction, dates. A noter que les informations que nous avons pu lire dataient de 2008. Soit un temps de stockage qui nous parait très long, 7 ans ! Espérons que les pirates n’ont pas atteint les données du « partenaire » de 2014. Pourquoi cette crainte ? Les pirates, avant de repartir ont précisé qu’il y avait « 4 061 032 logs contenant des cartes » dans les données qu’ils étaient en train de télécharger. TF1 a préféré faire fermer, ce samedi, l’accès à cette boutique. Pour les « techniciens », les deux failles étaient les suivantes [Je peux les montrer, elles ont été corrigées, ndr] : http://abonnement-presse.tf1.fr/magazine/abonnement.asp?idtitre=%27 et http://abonnement-presse.tf1.fr/magazine/detail.asp?idTitre=1688%27.

La faille apparaissait via une simple erreur dans l'url.

La faille apparaissait via une simple erreur dans l’url.

Inquiétant, dans un article paru dans le Figaro, ViaPresse indique que les RIB qu’annoncent posséder les pirates, auraient été volés à d’autres « partenaires ». Voilà qui en fait des fuites, via deux SQLi. Ci-dessous, la capture communiquée par les pirates [J’ai caché les informations sensibles comme l’IP, l’identité et ce qui semble être des données bancaires non cachées par des croix.

Capture

Les deux membres du groupe LinkerSquad affirment sur Twitter que les mots de passe qu’ils ont subtilisés servent aussi d’accès aux comptes utilisateurs du site de TF1. Pour le prouver, ils ont diffusé des accès de membres du site de la chaîne privée. Autant dire que nous vous conseillons fortement de changer votre mot de passe si vous êtes des abonnés à ce portail.

Qui sont ces pirates ?

Assurément jeunes, avec l’envie de faire parler d’eux, de montrer qu’ils sont capables de taper sur les grands de l’Internet. Ils ne cachent pas le fait qu’ils revendront les données qu’ils ont pu voler. A qui ? Les choix sont multiples. Le Black Market (Commerce de données piratées, ndr) reforge de possibilités d’acquéreurs de ce genre d’informations. Les mails, pour un phishing. Les IP, pour tenter d’infiltrer les ordinateurs. Les numéros de téléphones fixes ou mobiles pour des arnaques diverses et variées. Bref, de quoi enrichir les nouveaux escrocs du numériques. Nous avons demandé à ces « flibustiers » 2.0 si la crainte de la justice n’était pas un frein à leurs actions ? « Non, nous n’avons pas peur de la justice étant donné que nous nous sommes déjà fait arrêter dans le passé. Avant de recommencer tout ça nous nous sommes posés les bonnes questions et nous avons décidé que nous étions prêts. » Vous avez dit inconscient ? Si ces derniers résident sur le territoire Français, ils risquent 5 ans de prison et 350.000€ d’amende.

Pour rappel…

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende (art. 226-17 du code pénal) ; Les données personnelles ont une date de péremption. Garder des fichiers plus d’un an n’est pas pensable. Pour rappel, la CNIL indique que le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

Pour finir, seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Magazine » Des pirates passent par TF1.fr et annoncent le vol de 1,9 million de données

  2. blues

    Bonjour
    J’ai un compte sur tf1.fr
    Je ne sais ps ce qu’est « kiosque » je ne me sers pas de ce service.
    Dois je modifier mom mot de passe ?
    Merci

    • Damien Bancal

      Bonjour,
      Non, pas d’inquiétude, ce n’est pas le site TF1.fr qui a été touché directement, il n’a servi « que » de rebond pour viser les données d’un prestataire. Pour ce qui concerne votre mot de passe, je conseille toujours de modifier ses mots de passe au moins une fois par trimestre, par précaution.

  3. Clo

    Bonjour,
    J’ai malheureusement un compte sur ViaPresse, j’ai donc immédiatement modifié mon mot de passe sur ce site et devinez quoi? J’ai reçu dans la foulée un mail contenant mon nouveau mot de passe… en clair! Pas étonnant que ce site se soit fait piraté, vu les normes de sécurité qu’ils appliquent… Ayany un abonnement en cours, il m’est difficile de clôturer mon cmpte, heureusement pour moi, la vcarte bancaire qui avait servi à régler cet abonnement est expirée car, bien qu’elle ne soit pas censée être enregistrée sur le site, vu leur peu de rigueur en matière de sécurité, je ne suis pas très rassurée….

  4. Crym

    Bonjour,

    Chaque site Web commercial devrait obligatoirement être audité avant sa mise en ligne ou à chaque mise à jour, afin de garantir que les données personnelles ne puissent pas être récupérées par des pirates.

    Je pense mais ça ne tient qu’a moi que les utilisateurs lambda des services internet ne savent pas que leurs données personnelles peuvent être vendues par les pirates.S’ils le savaient peut être qu’ils feraient beaucoup plus attentions.

  5. Tryy

    Une simple faille SQL… Renversant. Et des mots de passe en clair d’après les rumeurs.
    Franchement, je veux pas me mettre du côté des pirates, mais les développeurs devraient eux aussi faire des efforts ! Je pense que c’est le B.A.BA de la sécurité quand on développe un service web de hacher les mots de passe, et vérifier quelques failles basiques comme SQL ou XSS…

  6. Syl

    Bonjour,

    J’ai ouvert un compte le 17.12.14 sur le site viapresse pour un abonnement et non via le site de TF1, suis-je concernée par ce vol de données ?
    Merci

    • Damien Bancal

      Il faut poser la question à ViaPresse.

  7. Pingback: ZATAZ Magazine » Un espace commercial de TOTAL piraté

  8. Pingback: ZATAZ Magazine » Fuite de données pour France Télévision