Plusieurs centaines de milliers de clients Videotron dans les mains d’un pirate

Posted On 10 Jan 2021

Un pirate informatique à lancer une cyberattaque de masse, ces derniers jours, à l’encontre des clients canadiens de Vidéotron. Plusieurs centaines de mails et des sites infiltrés.

Tout a débuté d’une manière assez simple. Un pirate informatique explique dans un forum qu’il a en sa possession plusieurs centaines de milliers de données appartenant aux clients de l’opérateur canadien, Vidéotron.

Jusqu’ici, rien de bien nouveau, il suffit d’un dork Google pour sortir du moteur de recherche américain des centaines d’adresses électroniques de clients de Vidéotron.

Là où cela devient « cocasse » est que le pirate explique que les informations en question, adresses et mots de passe, ont été volés par un employé. Une affirmation qu’il faut prendre avec des pincettes. Mais les faits sont là.

Le pirate a en sa possession 40 fichiers textes bourrés d’identifiants de connexion.

Détail, de taille, l’ensemble des mots de passe sont en clair.

En continuant mon enquête, je vais découvrir que ce pirate, originaire semble-t-il d’Amérique du Sud, a orchestré une série de filoutages.

Il s’est fait passer pour PayPal ou encore pour un portail dédié aux cryptomonnaies.

Chaque fichier stocke, en moyenne, 25 000 lignes d’informations. Bilan, un million de cibles potentielles pour ce malveillant.

Le pirate a exploité plusieurs faux blogs pour lancer ses cyberattaques, des pages fermées aujourd’hui. Il est encore possible d’en trouver quelques traces dans Google. Je ne peux vous en dire plus, elles fournissent encore les bases de données Videotron.

Des adresses de particuliers et de petites et moyennes entreprises que l’on retrouve dans la majorité des cas dans de vieilles fuites de données (2017/2018/2019).

D’où proviennent les données ? Difficile d’affirmer ce que le pirate raconte. Cela ressemble fort à une collecte massive de données tirées de multiples piratages.

Cela n’en reste pas moins inquiétant pour ces centaines de milliers de canadiens qui se retrouvent avec leur adresse et, dans certains cas, le même mot de passe exploité sur l’ensemble des espaces numériques qu’ils utilisent.

Sans compter les nombreux « password » proposant dates de naissance, sites d’utilisation, passion ou identité du conjoint/de la conjointe / enfants / chiens / chats …

Une des fausses pages utilisée par le pirate.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.