Un expert français en crédits voit les données de ses clients pillées

Suite à une cyberattaque, l’expert français en crédits CAFPI est confronté à une fuite massive d’informations clients.

La cyberattaque visant l’entreprise CAFPI semble avoir eu lieu il y a quelques jours. Ce spécialiste du crédit, qui compte 230 agences en France, vient d’être touché par les pirates informatiques du groupe VICE Society. Dans un souci de transparence et de respect du RGPD, CAFPI explique sur son site web que des « investigations menées indiquent que certaines données de nos clients ont été compromises. Certaines d’entre elles ont été rendues publiques. […] Vos documents d’identité et coordonnées de contact (nom, prénom, adresse e-mail) ; certaines informations transmises lors d’une demande de financement.« 

À la lecture du communiqué de presse, on pourrait penser que ce n’est pas vraiment grave. Quelques informations, rien de plus. Cependant, il semble que Vice Society ait dérobé ÉNORMÉMENT d’informations. Le service de surveillance ZATAZ (veillezataz.com) a repéré des pièces d’identité (CNI, passeport, livrets de famille, etc.), plus de trente sauvegardes, des dizaines de milliers de documents concernant des accords de crédits, des demandes de prêts, des avis de notaires, ainsi que des informations sur la direction générale, le comité d’entreprise et les ressources humaines, etc. Aucun chiffrement n’a été mis en place pour bloquer les pirates et leur diffusion malveillante.

La FAQ (Foire aux Questions) de la société explique que « des informations vous concernant ont ainsi pu échapper à notre contrôle. […] Si votre établissement bancaire peut vous envoyer des alertes d’activité de compte par SMS ou par courrier électronique, inscrivez-vous à ce service. » Les victimes doivent se débrouiller seules !

Le courriel d’alerte envoyé aux clients ce 23 mai reprend les indications affichées sur le site web. Ce courriel aurait dû indiquer, pour chaque client, les données qui ont fuité, afin que les usagers impactés ne soient pas obligés de « diagnostiquer eux-mêmes » et de signaler l’incident, et surtout pour pouvoir remédier à cette fuite devenue incontrôlable !

Le coût pour un particulier, en plus du stress moral et intellectuel de savoir que ses données sont aux mains de pirates, peut rapidement s’élever. Refaire sa carte nationale d’identité (25 € de timbre fiscal) ; données bancaires (selon votre banque, de 10 à 20 € par carte bancaire) ; carte grise (entre 150 et 200 € dans le meilleur des cas) ; sans parler du temps à consacrer à ces démarches administratives imposées !

A droite, le courrier d’alerte de l’entreprise ; à gauche, une partie des dossiers diffusés par les pirates !

Et j’avoue que lire ce même gimmick de « faire preuve d’une grande vigilance quant aux courriels, courriers postaux, appels téléphoniques ou SMS inhabituels que vous pourriez recevoir » est exaspérant ! Allez expliquer aux clientes et clients piratés d’être vigilants alors que leur carte nationale d’identité pourrait se retrouver sur le marché noir pour être utilisée ultérieurement, que ce soit dans un mois, six mois ou un an, pour commettre des fraudes telles que l’ouverture de comptes bancaires en ligne, la location de logements à des fins malveillantes (trafics de drogue, etc.) et d’autres actes répréhensibles qui ne seront révélés qu’une fois perpétrés !

Des fuites qui se multiplient ! Les groupes de rançonneurs, à l’image de Vice Society se multiplient. Le Service Veille ZATAZ en a référencé, en ce mois de mai 2023, pas moins de 7 nouvelles teams de maitres chanteurs (8Base, Rancoz, Malas, etc).