S’ajoutant à une longue liste noire, Norauto vient d’être victime d’un piratage ; avec un vol de données personnelles des clients de l’entreprise. Parmi eux, les numéros de leurs cartes d’identité. Informations très sensibles…
La vague de piratage continue de déferler sur les entreprises françaises, et les marques ne sont pas épargnées ! Après Boulanger, Truffaut, Picard, Cultura, Auchan, Molotov, Le Point, Mediboard, La Banque de France, mais aussi les opérateurs téléphoniques Free et SFR, c’est au tour de Norauto de faire les frais d’une cyberattaque ! Comme le rapporte le chercheur en cybersécurité Clément Domingo « acte de cybermalveillance ». Elle indique que « des données personnelles spécifiquement liées à notre service de location ont été ciblées », à savoir les noms, prénoms, adresses postales, adresses email et numéros de téléphone des clients, ainsi que… les numéros de leur pièce d’identité !
Piratage Norauto : un risque élevé d’usurpation d’identité
La marque automobile a identifié et corrigé la faille de sécurité qui permettait aux pirates d’infiltrer les systèmes. Un signalement à la CNIL a été effectué, comme il est d’usage. Le nombre de personnes touchées par la fuite est encore inconnu. Mais si Norauto se veut rassurant en indiquant que mots de passe et informations bancaires ont été épargnés, la situation est particulièrement inquiétante en raison du vol de numéros de pièces d’identité. En effet, ces informations peuvent permettre aux cybercriminels d’usurper l’identité des victimes auprès des banques, organismes prêteurs ou opérateurs. Combinées à d’autres informations, les conséquences peuvent être encore plus dramatiques.
Pour ne rien arranger, un hacker a mis en vente les données de l’entreprise quelques jours avant l’annonce du piratage sur BreachForums, un marché noir prisé des cybercriminels. Il affirme avoir eu accès “à un panneau d’administration pour gérer le paiement”ce qui lui a permis d’exfiltrer pas moins de 78 000 lignes de données. Il propose l’acquisition d’un accès pour 200 euros, alors que l’annuaire n’est qu’à 50 euros. Il est cependant impossible de vérifier leur authenticité.
Ce énième hack s’inscrit dans la vague d’intrusions informatiques qui ont frappé de nombreuses entreprises françaises ces derniers mois – une synthèse est disponible ici. Début novembre encore, Free a été victime d’une nouvelle intrusion, qui a entraîné le vol des données personnelles de millions d’abonnés, dont des IBAN… Des informations particulièrement sensibles ! Cette nouvelle fuite ne fait qu’ajouter aux bases de données déjà bien fournies sur le Dark Web.