­
BREAKING NEWS

Troy Hunt piégé par un phishing : quand le chasseur devient la proie

Posted On 26 Mar 2025
By :
Comment: 0

Même les plus grands experts en cybersécurité ne sont pas à l’abri d’un moment d’inattention. Troy Hunt, fondateur du site Have I Been Pwned, en a récemment fait la douloureuse expérience en se faisant pirater sa newsletter et 16 000 inscrits.

Il a bâti sa réputation sur la chasse aux fuites de données, aidant des millions d’internautes à savoir si leurs informations personnelles avaient été compromises. Pourtant, Troy Hunt, référence mondiale en cybersécurité s’est lui-même retrouvé victime d’un piratage. Dans un moment d’inattention, il a cliqué sur un lien frauduleux, donnant involontairement accès à son compte MailChimp à des hackers. Une attaque qui a permis à ces derniers d’exporter la liste complète des abonnés à sa newsletter, soit 16 000 personnes. Un comble pour celui dont le métier est justement de prévenir ce genre de mésaventures. C’est d’ailleurs pour cela aussi que le Service Veille ZATAZ ne propose aucun moteur de recherche et autres outils externes au SVZ. Notre contrôle est total pour protéger nos partenaires clients et notre travail. La newsletter de votre blog est, autre exemple, divisée en un certain nombre de lieux permettant sa diffusion. Comme le disait ma grand-mère, ne jamais mettre ses œufs dans le même panier !

C’est finalement arrivé : j’ai été victime d’une attaque de phishing. L’impact se limite à la liste de diffusion Mailchimp de mon blog. – Troy Hunt sur X.

Le piège s’est refermé rapidement. Troy Hunt a reçu un mail l’incitant à vérifier ses informations personnelles. Un message d’apparence banale, mais qui, derrière sa façade, dissimulait une tentative d’hameçonnage particulièrement bien ficelée. Hunt s’est connecté, a saisi son code 2FA, déclenchant sans le savoir la compromission de son compte. Ce n’est que lorsque le site s’est figé après la validation de la double authentification que l’expert a compris qu’il venait de se faire piéger. Malgré une réaction rapide — changement immédiat du mot de passe et tentative de verrouillage de son compte — le mal était déjà fait. Quelques minutes plus tard, un mail de confirmation l’informait que sa liste de diffusion, comprenant près de 16 000 adresses électroniques, avait été exportée. Autant dire que les adresses présentes, sensibles, risquent de finir sur le darkweb à vitesse grand V.

Service de Veille ZATAZ – 96% de satisfaction

« Même les meilleurs peuvent se faire avoir »

Ce sont les propres mots de Troy Hunt, partagés sur son compte X (anciennement Twitter), lorsqu’il a décidé de relater publiquement l’incident. Son objectif : montrer que personne n’est infaillible. Si lui, spécialiste mondial de la cybersécurité a pu tomber dans le piège d’un hameçonnage, cela peut arriver à n’importe qui.

Cette fuite soulève une question de fond : à quel point pouvons-nous réellement nous protéger dans un écosystème numérique toujours plus complexe et hostile ? L’attaque dont Hunt a été victime n’avait rien d’innovant techniquement. Aucun malware sophistiqué, aucun outil de pénétration avancé. Juste un simple courriel, bien rédigé, avec un lien vers un faux site suffisamment convaincant pour tromper un professionnel aguerri. Ce type d’attaque est devenu d’autant plus dangereux que les pirates perfectionnent constamment leur ingénierie sociale, rendant les tentatives de phishing toujours plus crédibles comme j’ai pu vous le montrer dans l’émission ZATAZ Live sur Twitch.

Le service compromis n’est pas anodin. MailChimp, utilisé pour gérer sa newsletter, contient les adresses de milliers de personnes abonnées. Même si aucune information sensible n’a été divulguée — pas de mots de passe ou de données personnelles détaillées — la simple diffusion de ces adresses constitue une fuite. Ces utilisateurs pourraient désormais être exposés à des campagnes de phishing ciblées ou à du spam, puisque leurs adresses circulent potentiellement entre les mains de cybercriminels.

Hunt a toutefois pris soin d’avertir immédiatement les abonnés concernés. Un courriel de notification a été envoyé à chacun d’entre eux, expliquant l’incident et les incitant à redoubler de vigilance dans les jours à venir.

Ce n’est d’ailleurs pas la première fois que des experts en cybersécurité sont victimes d’attaques. En 2022, plusieurs employés de LastPass, un gestionnaire de mots de passe, avaient vu leurs ordinateurs infectés suite à un piratage ciblé. Plus récemment, un chercheur en sécurité chez Microsoft avait reconnu s’être fait subtiliser des identifiants via une fausse page d’accès à Teams. Des incidents qui montrent bien que l’erreur humaine reste le maillon faible de la cybersécurité. Le Social Engineering est la reine des hacks comme je peux le démontrer lors de mes cours et conférences sur le sujet.

Contrairement aux failles logicielles qui peuvent être patchées, l’ingénierie sociale repose sur l’exploitation de la confiance, de la distraction ou du stress. Et c’est précisément ce que le message piégé adressé à Troy Hunt a su utiliser. Il jouait sur l’urgence, une pratique classique des attaquants : faire croire à un besoin immédiat de vérification, afin de court-circuiter l’esprit critique de la cible.

Pour les utilisateurs comme pour les entreprises, cet incident est un rappel brutal qu’aucune technologie, aussi avancée soit-elle, ne peut totalement prévenir ce type d’erreur humaine. Les mécanismes de double authentification, souvent présentés comme un rempart essentiel, n’ont ici servi à rien. Car une fois le code 2FA saisi sur un faux site, les pirates ont pu le récupérer en temps réel et s’en servir aussitôt. La technique dite du « Allô » est un parfait exemple présenté ici. Le real-time phishing, l’hameçonnage en temps réel, une méthode de plus en plus répandue. C’est d’ailleurs pour cela que le Service veille de ZATAZ, mais aussi l’ensemble des services exploités par votre serviteur se font, depuis des années, via des clés physiques de type Yupikey, Google, Etc.

En fin de compte, cette erreur est un avertissement, une piqûre de rappel et, paradoxalement, une forme d’enseignement précieux. Si un expert comme lui peut tomber dans le piège, alors il est temps, pour chacun, de se demander : suis-je vraiment prêt à faire face à la prochaine attaque ? N’hésitez pas à contacter le Service Veille ZATAZ pour mettre sous veille les pirates et le darkweb pour vous sécuriser de leurs malveillances.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZRejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ Oteria Cyber School IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux ZATAZ Partenaire du Forum International de la Cybersécurité ZATAZ Partenaire du Forum International de la Cybersécurité

Publicité

Flux Data Security

Partenaires de ZATAZ

LockSelf - Sécurité fabriquée en France Barracuda ! Abonnez-vous gratuitement aux actualités de ZATAZ Soyez plus rapide que les hackers malveillants ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

mars 2025
L M M J V S D
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

150 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/BSK/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com
Service Client

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: +50 000 Alertes envoyées au 01/12/2025 : +190 000 Fuites constatées en 2024 : +20 milliards Service veille ZATAZ : Service Veille ZATAZ

Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon