France Travail, l’enseigne Boulanger, la Caisse d’assurance-vieillesse ou, plus récemment, l’opérateur Free ont tous ont été piratés depuis le début de l’année 2024.
Que deviennent les millions de données personnelles ainsi dérobées ?
Des hackers offrent leur éclairage à TF1.
Suivez la couverture complète
Le 20H
Marie-Madeleine Sabbi, abonnée chez Free, a vite compris. « Vous vous rendez compte de l’anxiété dans laquelle nous vivons ? Avoir peur d’ouvrir un mail, d’un appel téléphonique… C’est l’inconnu. Vous avez quelqu’un qui se balade avec toutes vos coordonnées, mais vous ne savez pas qui », décrit la retraitée au micro de TF1, dans le reportage du JT de 20H visible en tête de cet article. Depuis la semaine dernière et le message envoyé par l’opérateur, elle et son mari sont convaincus qu’ils font partie des 19,2 millions de clients dont les données personnelles ont été dérobées . Dernière cyberattaque d’une longue série , ayant touché France Travail, l’enseigne Boulanger ou encore la Caisse d’assurance-vieillesse rien qu’en 2024.
Mais au fait, que deviennent ces informations après avoir été volées ? L’auteur du piratage du groupe Iliad, propriétaire de Free, a déjà fait savoir qu’il avait revendu toutes ces données contre 160.000 euros. Il ne faudra que quelques minutes à Clément Domingo, alias SaxX, pour en retrouver 100.000, en accès libre sur Internet. « Les informations les plus critiques sont les données bancaires, dont l’Iban et le fameux BIC, qui servent à tout un tas d’opérations », indique l’autoproclamé « gentil hacker », expert en cybersécurité et informatique qui vient en aide aux ONG humanitaires piratées.
Devant son écran et face à notre caméra, il fait la démonstration que des prélèvements frauduleux peuvent bel et bien être effectués sur votre compte en banque avec ces seules données : « On renseigne les différentes informations, comme ici avec le numéro d’Iban, et ensuite, il n’y a plus qu’à payer. Regardez, un montant a été émis. »
Tiphaine Romand-Latapie, autre experte en cybersécurité, en l’occurrence pour le compte de l’entreprise spécialisée Synacktiv, préconise, dans pareil cas, d’alerter aussitôt son conseiller bancaire : « La seule chose que vous pouvez faire, c’est être vigilant, développe-t-elle. Donc c’est surveiller votre compte pour vérifier qu’il n’y ait pas de prélèvements non autorisés. En surveillant tout, même les petits montants. C’est important. Pendant treize mois, vous pouvez y faire opposition et l’argent vous est remis sur votre compte. »
Généralement, ce sont d’autres pirates qui rachètent des données dérobées, pour rentabiliser eux-mêmes l’investissement en exploitant leur contenu. « Au regard du prix de rachat annoncé par l’auteur de la cyberattaque contre Free, il est probable que celui qui a acheté le fichier informatique le conserve pendant un petit moment, précise Baptiste Robert, alias fs0c131y, chercheur en cybersécurité et ‘gentil hacker’, à TF1info . Ensuite, le pirate va les monnayer au détail à d’autres hackers, qui eux-mêmes les revendront à d’autres par la suite. » Si 100.000 de ces données fraîchement volées sont d’ores et déjà accessibles, c’est donc qu’elles avaient probablement fuité par le passé, ce qui leur a fait perdre leur valeur sur ce marché noir 2.0.
Toutes ont vocation à être utilisées pour des tentatives de fraudes, le plus souvent par usurpation d’identité, ou dans le cadre de campagnes d’hameçonnage. « Les pirates vont utiliser les informations bancaires pour personnaliser et rendre leurs tentatives d’escroquerie plus convaincantes, reprend Baptiste Robert. Les gens concernés par une fuite de données vont recevoir des e-mails et des textos les invitant à cliquer sur un lien frauduleux, dans le but de récupérer leurs identifiants et mots de passe, ou d’autres données bancaires. Il faudra redoubler de vigilance. »
Si la Banque de France assure que la fuite de RIB (comprenant notamment l’Iban et le BIC) « n’est pas risquée en soi », car vous devez signer un mandat de prélèvement pour que quelqu’un prélève de l’argent sur votre compte, sachez tout de même qu’un fraudeur peut lui-même s’enregistrer en tant qu’émetteur de prélèvements auprès d’un prestataire de services de paiement, pour ensuite falsifier des mandats de prélèvements vers des Iban obtenus illégalement. L’escroc peut aussi souscrire des abonnements et des services payés par prélèvements. Quoi qu’il en soit, la vigilance paye même dans ces cas-là : chacun dispose d’un délai de huit semaines pour contester tout prélèvement, y compris après usage d’un mandat de prélèvement, et se faire ainsi rembourser, « sans condition », souligne l’Observatoire sur la sécurité des moyens de paiement (OSMP).
