Un pirate informatique inconnu propose, pour 30.000 dollars US, des milliers de documents qu’il annonce avoir volés à la société Vinci Immobilier.

Ce mystérieux pirate, qui a signé sous le pseudonyme « Vinci Immo » réclame 30 000 $ pour fournir les informations qu’il aurait exfiltrées à la société Vinci Immobilier.

Dans le site pirate black market où j’ai pu repérer cette proposition commerciale malveillante, ce commerçant indique « Nous seuls avons les données, nous vendons à seulement 1 personne.«

Il n’explique pas comment il a pu mettre la main sur ces informations, ni la date de ce piratage. Ce voyou 2.0 ne répond à aucunes questions. « Nous proposons des informations personnelles (Client/Vendeur/Associé/Employé), fichiers iPhone, Réunion vidéo enregistrée, conversation slack/équipes, quelques emails (toutes les pièces jointes / session email 2020-2021)« .

Dans les preuves qu’il a diffusé sur le site de partage d’images Imgur, j’ai pu constater des identités, des dossiers clients, des plans, des données d’employés … « Projet OAV (tous biens, projets commerciaux, projection future, etc.) et Projet VI3P (Technique, V4, Client) par SMILE (Documentation, Annonces, Activités, Calendrier, etc.) » annonce-t-il.

Il affirme avoir trié fiches de paie, budgets, conversations vidéo, … pour un total de 4GO d’informations piratées.

Selon ce que j’ai pu constater, les informations les plus récentes dateraient d’avril 2021. Alors ransomware ? Infiltration « basic » ? Perte d’une clé USB ?

Mise à jour : La société Vinci m’a confirmé le piratage et les actions mises en place : « A la suite du vol de l’identifiant d’un collaborateur de VINCI Immobilier, certaines données de VINCI Immobilier ont été subtilisées puis mises en vente le 7 juillet, sur une application de messagerie instantanée. VINCI Immobilier, qui avait pris toutes les mesures nécessaires pour empêcher la poursuite de cette fuite de données, a mené l’analyse approfondie des données impactées. Celles-ci concernent essentiellement les plans et grilles de prix d’opérations commercialisées par VINCI Immobilier mais aussi des listings de noms de prospects et clients de VINCI Immobilier. » Une plainte a été déposée auprès du Procureur de la République de Nanterre. La brigade de lutte contre la Cyber-criminalité a été saisie pour mener l’enquête. Une notification a été faite auprès de la CNIL. « Les investigations sont toujours en cours et VINCI Immobilier a alerté ses prospects et clients des risques de Phishing consécutifs à cette fuite de données.«

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

4 Comments

DDANN 04/08/2021 at 09:03 Reply

Bonjour
Pour ma part je me suis fait escroquer de la somme de 800 euros le mois dernier
Un appel à 20h30 avec le numéro du service opposition carte bleu du crédit mutuel
Malgré ma méfiance un scenario de dingue achat en cours avec ma carte sur un site
D’un pays à haut risque le Nigeria, le faux conseiller m’a donné toutes les infos de ma carte bleue , mon adresse …
J’ai validé des transactions que je pensais être des annulations et qui des le lendemain se sont avérées être des achats bitcoin à Dublin
Malgré un mail le soir même à ma conseillère a banque n’a pas pu faire opposition ☹
C’est inquiétant tout de même toutes ces données personnelles si accessibles informatiquement
Merci pour votre article
Cdt
- Damien Bancal 04/08/2021 at 13:00 Reply
  
  Bonjour DDann,
  Merci pour votre retour d’experience.
  Les méthodes pirates évoluent, malheureusement, avec les moyens cybersecu mis en place.
  Exemple : https://www.zataz.com/pirater-3d-secure-2fa/
  
  Bien cordialement
Gagak 05/08/2021 at 08:19 Reply

Une société concurrente peut achter ces infos. Mais surtout, peut-elle s’en servir et si elle est ‘découverte’, est-elle condamnable juridiquement ?
- Damien Bancal 18/08/2021 at 11:53 Reply
  
  Bonjour,
  Bonne question. Un avocat aura des dizaines de réponses possibles, selon sa position (défenseur/demandeur). Si certaines informations sont confidentielles et que l’utilisation est avérée, cela peut coûter très cher. Je me souviens de l’affaire Coca-Cola/Pepsi. Un ancien employé de Coca, Dirk (en fait 3 personnes), avait tenté de vendre les secrets de son ex employeur au concurrent pour plus de 1,5 million de dollars. Pepsi avait alerté Coca ! Et les trois voleurs, condamnés à de la prison ferme (3/5 ans).
  cdt