Sur un forum prisé des pirates qui souhaitent signaler leurs méfaits et/ou revendre leur butin, un compte est particulièrement actif ces derniers jours : Near2tlg. Il propose plusieurs bases de données à la vente et a même envoyé un message pour expliquer ses motivations et qu’il ne s’agit pas d’une seule personne, mais d’un ” collectif ».
Near2tlg : le manifeste du groupe de hackers
« Nous avons réussi à infiltrer plusieurs systèmes informatiques et à accéder à un grand nombre de bases de données sensibles, dont celles de grandes entreprises comme Le Point, SFR, Direct Assurance et Mediboard. En seulement une semaine, notre groupe récemment constitué a démontré sa capacité à exploiter efficacement les vulnérabilités des infrastructures numériquess», explique le collectif dans ce qui ressemble à un manifeste. Le message est également repris sur sa chaîne Telegram.
Le groupe Near2tlg affirme avoir « déjà signalé des failles de sécurité sur les sites concernés « . Mais, au lieu de réagir et de corriger la situation, « ces entreprises ont préféré donner la priorité à leurs profits, accumulant des milliards de chiffre d’affaires tout en négligeant la sécurité de leurs utilisateurs « . YuroSh, le hacker qui prétend être à l’origine du piratage de Free, a également affirmé avoir envoyé des alertes de sécurité à l’entreprise.
« Nous continuerons d’agir jusqu’à ce que justice soit rendue. Nous mettrons à l’épreuve toutes les entreprises qui choisissent de privatiser les bénéfices générés au détriment de la sécurité de leurs utilisateurs », explique le groupe. YuroSh a également tenu un discours militant dans ses revendications, mais sur un autre sujet que le profit : « Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas ».
Mediboard : « aucune donnée n’a été vendue »… pour l’instant
Parmi les bases de données mises en vente par Near2TLG, certaines fuites ont déjà été confirmées par les victimes. C’est le cas de nos confrères du Point et des données de 750 000 patients via Mediboard. Les pirates affirment au passage qu’ils ne sont pas à l’origine de la fuite de Free ni de celle d’Auchan.
Concernant Mediboard (dont la fuite a été confirmée), Near2tlg affirme (dans un message publié hier soir) que non « les données n’ont pas été vendues », mais le groupe lance « un ultimatum : un paiement de 5 000 $ en Monero [une cryptomonnaie open Source, ndlr] dans les trois jours, ou nous publierons l’intégralité de la base de données ».
Restitution des données SFR dont une copie aurait été vendue
Le groupe de hackers a également (re)mis en avant un message pour revendre les données SFR volées début septembre. 150 000 clients seraient concernés, avec nom, email, numéro de téléphone, nom de la banque, IBAN et adresse. Un premier exemplaire des données aurait été vendu, toujours selon la publication sur le forum.
Mediboard : accès aux données de 1,5 million de patients
Dans le sac bien chargé des hackers, il y a d’autres choses à vendre, dont l’accès à Mediboard pour un ” contrôle exclusif sur plusieurs établissements » : Luxembourg Centre, Clinique Alleray-Labrouste, Clinique Jean d’Arc, Clinique Sainte-Isabelle et Hôpital Privé Thiais. Cela ouvrirait les portes aux données de 1,5 million de patients.
Nous avons contacté le groupe Softway Medical qui, via sa filiale Openxtrem, propose Mediboard pour confirmation et précisions sur ce deuxième cas, sans retour pour l’instant. Nous mettrons à jour l’actualité si l’entreprise revient vers nous.
Assurance Directe : 15 000 personnes, dont plus de 6 000 RIB
Autre information à la vente, celle des clients Direct Assurance. Plus de 15 000 personnes seraient dans leur filet : 6 137 clients et 9 517 prospects. Selon la publication, les pirates ont utilisé l’accès d’un employé pour récupérer les données.
La liste des données divulguées comprend le nom, l’e-mail, le téléphone et l’adresse dans les deux cas. Dans le cas des clients, les hackers annoncent également vendre du RIB, du nom de banque et du BIC. Des données bancaires importantes dont la fuite peut avoir des conséquences sur les comptes bancaires des victimes.
Direct Assurance confirme la fuite
Nous avons contacté Direct Assurance ce matin. L’entreprise nous confirme la fuite, tant sur les prospects que sur les clients (avec des données bancaires en l’occurrence), sans pouvoir valider pour l’instant les chiffres annoncés par le hacker.
La faille provient d’un prestataire externe, dont l’identité n’est pas précisée. Bien évidemment, toutes les mesures nécessaires ont été prises pour « bloquer toute autre fuite de données ».
La CNIL a été prévenue, nous indique Direct Assurance (c’est aussi une obligation légale), qui est en train de prévenir ses clients concernés de la fuite de leurs données personnelles.
Accès à « Osiris Production » en vente
Passons maintenant à « Osiris Production », dont la cible reste assez floue. Le hacker le présente comme « une plateforme utilisée par les pouvoirs publics français pour gérer les demandes d’indemnisation en cas d’accidents du travail et de maladies professionnelles ».
Mais Osiris Production fait référence à un extranet du ministère de la Jeunesse et des Sports. Le site est actuellement en maintenance, mais il était fonctionnel en juin 2024 selon la Wayback Machine. Les captures d’écran postées par Near2tlg parlent d’un « projet associatif », qui pourrait cadrer avec l’extranet Osiris dont nous parlons.
De 350 à 800 dollars, bientôt le tour de la SNCF ?
Sur Telegram, le groupe de pirates annonce ses tarifs : 350 dollars pour la base de données Point, 800 dollars pour celle de SFR, 400 dollars pour Direct Assurance… avec paiement en cryptomonnaie exclusivement.
Le message Telegram se termine par un coup de semonce pour une autre entreprise : « SNCF, préparez-vous, votre tour arrive ».
