Les données personnelles de près de 2 millions d'internautes ont été interceptées par des pirates informatiques, qui ont attaqué le site de TF1. La faille ayant permis cette attaque a depuis été réparée, mais les pirates ont récupéré des adresses mail, des mots de passe et peut-être des données bancaires.
Pas de vacances pour les pirates informatiques. Après les révélations sur le piratage de Sony en décembre, un groupe nommé Linker Squad a revendiqué l'attaque, il y a plusieurs jours, du site internet de TF1. Avec ce piratage, le groupe aurait récupéré les données personnelles d'1,9 million de personnes.
C'est le site spécialiste de l'informatique Zataz.com qui révèle cette attaque. Selon le journaliste Damien Bancal joint par L'Express, le groupe de pirates l'a contacté pour lui faire part de ses actes, preuves à l'appui. L'attaque a visé l'espace "abonnements presse" (qui n'était plus actif samedi à la mi-journée) du site de TF1, qui permet de s'abonner à des magazines. Il serait géré par un sous-traitant. La faille a été traitée par la direction technique de TF1 dans l'heure suivant l'alerte.
"Ni des espions, ni des professionnels"
"Ce ne sont pas des espions ni des professionnels. On a affaire à des jeunes qui sont bons avec un moteur de recherche, possèdent deux ou trois logiciels. Pour pirater une base de données désormais il suffit d'un peu de jugeotte", explique Damien Bancal.
Pour prouver leur attaque, les pirates lui ont notamment fait parvenir des captures écran montrant les adresses mail et mots de passe (non chiffrés). Les pirates prétendent également avoir récupéré des RIB. Ils disaient vouloir, par ce geste, "montrer aux sociétés piratées qu'elles font n'importe quoi" avec leur site internet. Mais pour Damien Bancal, leurs actes ne traduisent pas vraiment une noble cause.
Deux autres sites visés
"J'ai vite compris que leur motivation était l'acte de piratage en lui-même, ils veulent surtout que l'on parle d'eux", explique-t-il. Autrement dit, Linker Squad n'avait pas pour but d'aider une entreprise à améliorer la sécurité de son site. Derrière cet acte, peut aussi se cacher l'idée de voler des données pour les revendre ensuite au marché noir. "Ils peuvent revendre les données bancaires ou les adresses mail, par exemple à d'autres pirates qui s'en serviront pour envoyer des pubs, des malwares ou des publicités non désirées."
Damien Bancal a su il y a une dizaine de jours que le site de TF1 avait été piraté. Il a alors prévenu la chaîne et attendu que la faille soit réparée pour diffuser l'information. Mais depuis, le groupe Linker Squad a revendiqué d'autres attaques. Le spécialiste a prévenu les entreprises visées et préfère ne pas les nommer tant que les failles ne sont pas corrigées.
"Pas de sécurisation à 100% dans l'informatique"
Les entreprises sont-elles trop laxistes en matière de sécurisation de leurs bases de données ? "Il faut arrêter de taper sur les administrateurs. En informatique, la sécurisation à 100% n'existera jamais", estime Damien Bancal. "Il ne faut pas non plus tomber dans la paranoïa. Mais l'informatique, ce sont des chiffres. Il suffit d'une petite erreur, d'un oubli humain pour créer une faille". Plus le site grossit et ajoute de nouvelles pages, plus il devient faillible. "C'est comme dans une maison: plus vous avez de fenêtres, plus il y a de risques de courants d'air".
Dans un communiqué diffusé samedi à la mi-journée, TF1 a précisé qu'il ne s'agissait pas du piratage de tf1.fr mais bien "d'un partenaire commercial de tf1.fr". Déclinant toute responsabilité dans cet incident, le groupe a indiqué que le piratage "affecte les abonnés de ce prestataire, qui a une vitrine sur tf1.fr". Le groupe a en outre demandé la suppression du site du prestataire. Dans un mail à l'AFP, le directeur général d'eTF1, Olivier Abecassis, a précisé que les différents "avec le partenaire défaillant" seront réglés "dans le cadre du secret des affaires. Il va sans dire que TF1 défendra ses intérêts à la hauteur du préjudice subi".
Reply With Quote