Allo Domino's ? Je voudrais une reine avec supplément cybercriminalité !

Je suis un grand amateur de pizza. C'est pour ça que je n'aime pas les pizzas de chez Domino's Pizza. Elles sont bien trop industrielles et noyées dans l'huile pour être mangeables. Par contre, j'adore la cybercriminalité et lorsque les deux se mêlent, je me sens obligé de blogger pour faire de la sensibilisation.

Ainsi donc, de méchants pirates ont compromis Domino's Pizza afin de récupérer la base de donnée de tous les clients de la société. Leur but était de faire du chantage à la société: soit vous nous payez, soit on publie la base de donnée sur Internet. Domino's n'a pas payé, ce qui est un comportement louable et responsable afin de ne pas encourager ce type de cybercriminalité, mais d'un autre côté, la nuisance pour leurs clients est très forte, nous allons y revenir.

Souhaitant me faire une idée plus précise du carnage, je me suis procuré cette base de données. A titre de rappel, je ne peux que me répéter: lorsqu'une base de donnée fuite sur Internet, elle ne disparait quasiment jamais. Elle réapparaitra toujours, à un moment où un autre.

Quoi qu'il en soit, l'affaire fait beaucoup rire, mais avez-vous sérieusement envisagé les conséquences de la distribution d'une telle liste à des cybercriminels ? Nous allons étudier quelques scénarios afin d'en prendre bonne mesure.

Note: Je ne sais pas comment a été constituée cette base de données. Néanmoins, étant donné que certaines entrées ne présentent qu'un numéro de téléphone, je suppose qu'elle contient à la fois des clients qui se font livrer et des clients qui se déplacent pour venir la chercher. Il y a exactement 592807 entrées uniques dans cette base.

Pour le particulier, cela signifie donc que des pirates disposent de:

  • leur adresse e-mail
  • leur numéro de téléphone
  • leur adresse physique (ainsi que leurs codes d'entrées d'immeuble parfois, ou des indications type "au bout du couloir à gauche, il faut frapper")
  • un mot de passe chiffré utilisé pour s'inscrire sur le site de Domino's.

Notez que le chiffrement du mot de passe est cependant facilement contournable, une attaque par brute-force révèlera les mots de passe des utilisateurs à un attaquant au besoin.

Que peuvent donc faire les attaquants avec ces données ?

- Envoyer des campagnes de spam de masse, mais un peu mieux faites qu'habituellement, parce qu'elles mentionneront peut-être votre adresse, votre numéro de téléphone, votre adresse physique...

- Couper la base de donnée selon des critères géographiques pour les revendre ou commencer à envoyer des e-mails ciblés, type "Nouvelle enseigne de pizza dans votre ville de xxxx, cliquez ici" ... Le clic mènera soit à un site essayant d'obtenir les informations de votre carte bancaire, soit à vous infecter avec un malware (qui lui aussi en voudra à votre carte bancaire ou à tous vos accès à des services en lignes par exemple: Paypal, banque, etc.) Les scénarios peuvent ici être très variables.

- Vendre la base de donnée à un/des concurrent(s) de Domino's Pizza ... Qui vous maileront bien sûr.

- Envoyer de faux e-mails Domino's Pizza pour vous demander confirmation de votre numéro de carte bancaire, ou pour obtenir d'autres informations, ou encore une fois vous infecter avec un malware.

- Vendre la base à des sociétés de démarchage téléphonique ...

- Appels téléphoniques malveillants : les attaquants peuvent se faire passer pour des fournisseurs d'accès Internet afin d'obtenir des informations: les utilisateurs disposant d'adresses mail en orange.fr par exemple peuvent être appelées, le fraudeur les mettant en confiance en montrant qu'il dispose d'informations sur eux, afin de mettre en place des scénarios divers et variés: obtention de numéro de carte bancaire, infection par malware (si vous ne voulez pas que la ligne Internet coupe, car nous avons des problèmes en ce moment, allez sur ce site...) etc.

- Utiliser le mot de passe fourni à Domino's pour voir si *éventuellement* il ne correspondrait pas à celui de la boite mail indiquée à Domino's Pizza. Beaucoup d'utilisateurs utilisent encore le même mot de passe partout, ce qui est évidemment déplorable en terme de sécurité informatique. Ainsi, l'attaquant pourrait utiliser à loisir votre boite mail pour envoyer du spam, lire vos e-mails, mener d'autres campagnes de cybercriminalité etc.

- Faire un tri dans les adresses mail pour cibler précisément des entreprises dont les employés ont utilisé une adresse mail "corporate". Il y a par exemple 69 adresses mails en .gouv.fr et de nombreuses sociétés clairement identifiables... Ces seules informations peuvent déja être sensibles et permettre à un attaquant de se lancer dans une attaque ciblant l'entreprise... Nous rejoignons ici le cyber espionnage ...

- Usurper votre identité afin de s'inscrire à d'autres services en ligne... A titre d'exemple, j'ai récemment constaté qu'un cybercriminel chinois utilisait les coordonnées réelles d'une innocente afin d'enregistrer des noms de domaines servant à des attaques ciblées (APT).

- Commander 20 pizzas avec vos informations et les faire livrer chez vous... Juste pour le plaisir de nuire. Etant donné que la commande est passée avec vos informations, Domino's exigera probablement le paiement...

Comme vous pouvez le constater, les possibilités sont nombreuses, et nous pourrions entrer dans un niveau de détail plus élevé pour mettre en place de nombreux autres scénarios non décrits précisément ici.

Que peut-on faire pour limiter les dégâts ?

- Imaginez toujours qu'un service auquel vous souscrivez peut être piraté un jour.

- Utilisez des mots de passes uniques. N'hésitez pas à utiliser des logiciels de conservation de mot de passe tels que Keepass.

- Ne donnez que les informations nécessaires (ne remplissez jamais les champs facultatifs).

- Si possible, utilisez une adresse mail unique pour chaque site sur lequel vous vous inscrivez.

- Soyez prudents lorsque vous recevez des e-mails, même lorsqu'ils semblent venir de fournisseurs de services auxquels vous avez souscrit.

- Si vraiment vous voulez manger une bonne pizza, allez chez Il Campionissimo :-)

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://bl0g.cedricpernet.net/trackback/135

Fil des commentaires de ce billet