next.ink - Alltricks s’est fait pirater son système d’envoi d’e-mails, qui passe visiblement par Sendinblue (Brevo). Des clients ont reçu des tentatives de phishing. La société continue son enquête pour voir s’il y a eu exfiltration de données.
La saison des fuites de données est au beau fixe, au grand dam de vos données personnelles et bancaires, avec des risques de phishing. C’est au tour de la boutique en ligne spécialisée dans le cyclisme d’en faire les frais, comme vous avez été plusieurs à nous le signaler (merci à vous !).
Certains ont, en effet, reçu un email de phishing provenant de la boutique en ligne, parfois sur alias utilisé uniquement pour cette enseigne, ce qui ne laisse que peu de doute quant à la provenance de « l’incident de cybersécurité » pour reprendre un terme à la mode.
Le système d’envoi d’e-mails piratés pour envoyer du phishing
L’email piégé affiche en gros un lien « Open in OneDrive », sur lequel il ne faut évidemment pas cliquer. Le lien semble légitime puisqu’il est de la forme « https://r.sb3.alltricks.com/xxxx ». Il reprend donc bien le domaine d’Alltricks, avec un sous domaine « r.sb3 ». Mais ce lien n’est qu’une redirection vers une autre adresse. Le domaine r.sb3.alltricks.com renvoie vers Sendinblue, une plateforme de gestion des newsletters.
C’est une pratique courante avec ce genre de service : les liens sont modifiés afin de pouvoir récupérer des statistiques sur le taux d’ouverture par exemple. Problème, impossible de savoir où mène ce lien juste en le regardant. Plus embêtant dans le cas présent, son domaine principal pourrait laisser penser que c’est un lien légitime, alors que non !
Hier, le revendeur a communiqué auprès de ses clients : « Nous souhaitons vous informer qu’une intrusion récente a affecté notre système d’envoi d’e-mails. Il est possible que vous ayez reçu, au cours des derniers jours, un message provenant d’adresses telles que : pro@alltricks.com, infos@alltricks.com
ou no-reply@alltricks.com ». La société ne donne pas plus de détails sur la méthode utilisée par les pirates.
Suivant les cas, « ces e-mails pouvaient contenir un lien vous invitant à : renouveler votre mot de passe, ouvrir un fichier Excel, consulter un document OneDrive ». Le revendeur ajoute qu’ils « ne proviennent pas de [son] équipe et ne doivent pas être ouverts ». Dans le cas contraire, il recommande « de modifier rapidement le mot de passe associé à votre compte e-mail ».
La série noire continue. C’est au tour de Pandora de prévenir ses clients d’une « violation de données personnelles ». La communication du joaillier danois est pour le moins surprenante puisqu’elle se dit victime « d'une attaque de cybersécurité » (sic).
Quoi qu’il en soit, « certaines données clients ont été consultées via une plateforme tierce ». Pandora parle de « données courantes […] copiées par l'attaquant, à savoir votre nom, date de naissance, et adresse e-mail ». La société se veut rassurante : « aucun mot de passe, numéro de carte bancaire ou autre donnée confidentielle similaire n’a été concerné par cet incident ».
Pandora affirme que, selon ses vérifications, « rien n’indique que ces données aient été partagées ou publiées ». La société rappelle que la protection de la vie privée est « une priorité absolue » et qu’elle prend cette « situation très au sérieux ».
Ce qui ne l’empêche pas de se cacher derrière ses camarades, rappelant que ce type d’incident est « devenu malheureusement plus courant ces dernières années, en particulier chez les entreprises internationales ». Il est vrai que les fuites se multiplient, mais cela n’en fait pas une bonne raison d’être victime d’une cyberattaque, avec le vol de données personnelles.
Le risque est toujours le même : « des tentatives d’hameçonnage (phishing) menées par des tiers se faisant passer pour Pandora » afin de récupérer davantage d’informations.
next.ink -
Bouygues Telecom prévient actuellement pas moins de 6,4 millions de clients d’un accès non autorisé à certaines de leurs données personnelles… mais aussi bancaires. Attention donc aux risques de phishing et de prélèvements sur vos comptes.
Après une fin d’année 2024 et un début 2025 sur les chapeaux de roues pour les fuites de données, la situation s’était un peu calmée, mais ce fut de courte durée. L’été est chargé, avec des incidents cyber chez Louis Vuitton, France Travail, Allianz Life, Pandora et maintenant Bouygues Telecom.
On y retrouve des informations personnelles telles que les coordonnées, des données contractuelles liées à votre abonnement, des données d'état civil ou celles de l'entreprise si vous êtes un professionnel, ainsi que les IBAN sur la partie bancaire. Toutefois, « les numéros de cartes bancaires et les mots de passe de vos comptes Bouygues Telecom ne sont pas impactés ».
En octobre, Free aussi avait été victime d’une fuite de données personnelles, avec des IBAN. Quelques semaines auparavant, c’était RED by SFR, là aussi avec des données bancaires.
Les risques liés à la fuite d’IBAN
L’IBAN (International Bank Account Number) est l’identifiant international de votre compte bancaire, rattaché à une institution financière dans un pays (il commence par FR pour France, DE pour Allemagne…).
Selon la Banque de France, « communiquer son RIB n’est pas risqué en soi ». Mais « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) », ajoute l'institution.
De son côté, Bouygues Telecom assure qu’une « personne qui détient un numéro IBAN ne pourrait pas émettre de virement sans votre accord ». À juste titre, l’opérateur prend soin d’ajouter que, concernant les prélèvements, c’est plus compliqué : « il est normalement nécessaire que le titulaire du compte signe un mandat SEPA, mais on ne peut pas exclure qu'un fraudeur parvienne à réaliser une telle opération en se faisant passer pour vous ».
En effet, lorsque la signature consiste en un SMS ou un email, une usurpation d’identité est facile à mettre en place.
Bouygues Telecom conseille donc à ses clients de vérifier les prélèvements et d'appeler la banque en cas de doute : « Sachez que la règlementation bancaire prévoit que vous puissiez vous opposer pendant 13 mois à tous les prélèvements effectués sans votre accord sur votre compte bancaire ».
Les cyberattaques sont « très fréquentes et n'épargnent » personne
L’opérateur ne donne pas de détails sur la cyberattaque. Il précise simplement avoir bloqué l'accès, renforcé la surveillance « et mis en œuvre des mesures complémentaires nécessaires ». L’entreprise rappelle aussi que les cyberattaques sont « très fréquentes et n'épargnent aucune entreprise »… un argument repris récemment par Pandora, dans une communication pour le moins surprenante.
Comme l’y oblige la loi, la CNIL a été informée de la situation. De plus, une plainte a été déposée auprès des autorités judiciaires.
Le risque en pareille situation, sans parler des prélèvements sur votre compte, est d’être la cible de phishing. Des pirates peuvent utiliser les données récoltées pour se faire passer pour Bouygues Telecom ou votre banque, afin de récupérer des données supplémentaires.
next.ink - France Travail a envoyé, mardi 22 juillet au soir, un courrier d'information à certains des usagers inscrits à son service, alertant d'un acte de cyber malveillance susceptible d'avoir entrainé la consultation illégitime de leurs données personnelles. Dans son email, que Next reproduit ci-dessous, l'ex Pole Emploi indique que la fuite est survenue au niveau « du portail emploi destiné à [ses] partenaires ».
Nom, prénom, adresses, téléphone et statut France Travail
L'agence affirme par ailleurs avoir immédiatement fermé le service concerné, lancé des analyses pour déterminer l'origine de l'attaque, et rempli ses obligations de signalement en informant la CNIL dès le 13 juillet, date de la découverte de cet incident.
« Les données compromises sont vos nom, prénom, adresses postale et électronique, numéro de téléphone, identifiant France Travail et statut (inscrit, radié). Vos données bancaires ou vos mots de passe ne sont pas concernés par cet incident », informe France Travail.
Comme toujours en de telles circonstances, l'agence invite les utilisateurs concernés à la prudence, notamment vis à vis des risques de phishing (hameçonnage).
Une application de suivi des formations mise en cause
Contactée par Next, la direction de France Travail apporte quelques précisions sur la nature de l'incident et surtout sur son périmètre. L'alerte est d'abord partie du CERT-FR de l'ANSSI, le 12 juillet. Son traitement a permis aux équipes internes de France Travail d'identifier le service par lequel est intervenue la fuite.
« Il s’agit de l’application Kairos permettant aux organismes de formation d'agir sur le suivi des formations des demandeurs d'emploi. Le service a été immédiatement fermé ainsi que tous les autres services hébergés sur le portail Emploi destiné à nos partenaires », explique France Travail. La fuite aurait été rendue possible grâce à la compromission, via un malware de type infostealer (logiciel spécialisé dans le vol d'informations personnelles) d'un compte utilisateur rattaché à un organisme de formation basé dans l'Isère.
next.ink - L'Hôpital privé de la Loire (HPL), qui se trouve à Saint-Étienne, a été victime d'une cyberattaque, révélait ce jeudi 10 juillet, le journal Le Progrès.
Géré par le groupe Ramsay, le HPL avait publié un communiqué de presse mardi 8 juillet affirmant qu'il avait été victime quelques jours plus tôt d'un « vol d’identité » concernant « une quantité importante de données personnelles de ses patients ». Mais l'établissement se voulait rassurant, affirmant que les données étaient « essentiellement de nature administrative ».
Mardi soir, une personne se présentant comme responsable du piratage a contacté nos confrères du Progrès pour s'en indigner. Elle affirme posséder des données concernant plus de 530 000 patients dont leurs cartes d'identité. Elle ajoute que « l'argent est la motivation » sans préciser le montant exigé.
Cette réaction a obligé l'hôpital à revoir sa communication. À l'AFP, il expliquait jeudi 10 juillet, avoir envoyé un email « à plus de 126 000 patients concernés par le piratage informatique de l’Hôpital privé de la Loire (HPL), et les 40 d’entre eux qui sont concernés par le vol de données médicales seront contactés individuellement ». Et il affirme que son fonctionnement n'a cependant pas été affecté.
Le parquet de Paris a, de son côté, expliqué à l'agence de presse que sa section cybercriminalité avait été saisie et avoir confié l'enquête à l’Office anticybercriminalité (OFAC).
Interrogé par l'AFP sur la demande de rançon, le groupe Ramsay n'a pas voulu s'exprimer sur le sujet.
Lors d’un audit, des milliers de failles ont été découvertes dans le Système d’Information Schengen II, logiciel gérant le fichier mis en place dans le cadre de la convention de Schengen. Sopra Steria qui en est responsable a mis des mois, voire des années à corriger certains
problèmes. L’année dernière, la seconde version du Système […]
L'année dernière, la seconde version du Système d'Information Schengen (SIS) a essuyé un audit sévère du Contrôleur européen de la protection des données (CEPD). Ce logiciel est utilisé par les autorités aux frontières des pays de l'espace Schengen pour ficher les personnes recherchées et celles refoulées ou interdites de séjours.
La seconde version du système a été déployée en 2013, mais il a été « renouvelé » en mars 2023 et de nouvelles catégories de signalements, des données biométriques et des registres d'ADN de personnes disparues ont encore été ajoutées.
1,7 million de personnes concernées
Selon l'agence européenne eu-LISA qui utilise le système [PDF], plus de 93 millions d'alertes y étaient stockées au 31 décembre 2024, dont 1,7 million sur les personnes. Près de 1,2 million concerne des reconduites à la frontière, des refus d'entrée ou de rester sur le territoire et un peu plus de 195 000 personnes y sont fichées comme de possibles menaces pour la sécurité nationale.
Ce système stocke des données concernant des personnes visées par un mandat d'arrêt européen, mais aussi signale, aux fins de non-admission ou d'interdiction de séjour, des personnes signalées dans le cadre d'infractions pénales ou recherchées pour l'exécution d'une peine, ou encore des personnes disparues.
Ces données comprennent l'état civil, des photographies, des empreintes digitales et d'autres informations biométriques réunies dans les textes officiels sous la dénomination de « signes physiques particuliers, objectifs et inaltérables ». Des données particulièrement sensibles, donc. Des commentaires peuvent être ajoutés comme « la conduite à tenir en cas de découverte », « l'autorité ayant effectué le signalement » ou le type d'infraction.
Des milliers de problèmes de gravité « élevée »
Selon les documents consultés par Bloomberg et par Lighthouse Reports, le logiciel était, à l'époque de l'audit, truffé de vulnérabilités. Des milliers de problèmes de sécurités étaient d'une gravité « élevée ». Le contrôleur a aussi pointé du doigt un « nombre excessif » de comptes administrateurs de la base de données, ce qui était « une faiblesse évitable qui pourrait être exploitée par des attaquants internes ». Dans l'audit du CEPD est indiqué que 69 membres de l'équipe de développement avaient un accès à la base de données du système sans avoir l'habilitation de sécurité nécessaire.
Pour l'instant, le Système d'Information Schengen II fonctionne sur un réseau isolé, les nombreuses failles détaillées dans cet audit ne peuvent donc être exploitées que par un attaquant interne. Mais il est prévu qu'il soit intégré, à terme, au « système d'entrée/sortie » des personnes de nationalités en dehors de l'UE, qui lui doit être mis en place à partir d'octobre 2025. Celui-ci est connecté à Internet. Le rapport d'audit s'alarme d'une facilité des pirates d'accéder à la base de données à ce moment-là.
Une très lente réaction de Sopra Steria
Selon Bloomberg, l'audit explique que des pirates auraient pu prendre le contrôle du système et que des personnes extérieures auraient pu obtenir des accès non autorisés. Mais le média explique que des documents montrent que, lorsque l'eu-Lisa a signalé ces problèmes, Sopra Steria, qui est chargée du développement et de la maintenance du système, a mis entre huit mois et plus de cinq ans et demi pour les résoudre. Ceci alors que le contrat entre l'agence européenne et l'entreprise l'oblige à patcher les vulnérabilités « critiques ou élevées » dans les deux mois.
Dans des échanges de mails avec eu-LISA consultés par nos confrères, Sopra Steria demandait des frais supplémentaires à la hauteur de 19 000 euros pour la correction de vulnérabilités. L'agence européenne a, de son côté, répondu que cette correction faisait partie du contrat qui comprenait des frais compris entre 519 000 et 619 000 euros par mois pour la « maintenance corrective ».
Interrogée par nos confrères, Sopra Steria n'a pas voulu répondre à leurs questions, mais a affirmé : « En tant qu'élément clé de l'infrastructure de sécurité de l'UE, le SIS II est régi par des cadres juridiques, réglementaires et contractuels stricts. Le rôle de Sopra Steria a été joué conformément à ces cadres ».
Dans son audit, le CEPD vise aussi l'eu-LISA qui n'a pas informé son conseil d'administration des failles de sécurité. Il pointe aussi des « lacunes organisationnelles et techniques en matière de sécurité » et lui demande d'établir un plan d'action et une « stratégie claire » pour gérer les vulnérabilités du système.
À Bloomberg, l'eu-LISA affirme que « tous les systèmes gérés par l'agence font l'objet d'évaluations continues des risques, d'analyses régulières de la vulnérabilité et de tests de sécurité ».
Cette nuit, de nouveaux actes de vandalisme viennent perturber l’accès à Internet cette fois-ci. Selon nos informations, des fibres « longhaul » (longues distances, généralement plusieurs centaines de kilomètres) sont coupées à plusieurs endroits, provoquant des perturbations au niveau national. Les fibres relient des grandes villes – Paris, Lille, Strasbourg, Marseille, Lyon… – et servent d’artères pour Internet.
