Un pirate informatique connu sous le pseudonyme lOlzSec s’est infiltré dans les serveurs de Pearl.fr et en a extirpé une généreuse base de données commerciales par injection SQL.
L’intéressé prétend détenir les informations rattachées à 729 115 comptes d’utilisateurs. En l’occurrence, les adresses postales et électroniques, les numéros de téléphone ou encore les dates de naissance de tous les clients, sans exception.
Il aurait en outre eu accès aux fichiers témoins de quelque 1 115 050 transactions bancaires effectuées sur le site. Le tout était vraisemblablement stocké en clair, sans aucun cryptage, même basique.
Pour affirmer ses velléités, lOlzSec a diffusé partie de ce butin qu’il aurait pu faire fructifier en l’exploitant directement ou en le revendant.
Cela n’a pas été le cas. Les données se sont retrouvées publiées sur la Toile après l’échec de négociations par lesquelles le pirate, revenu sous le couvert d’un message signé de la NullSecurity Team, proposait de se rétracter en échange d’une rançon de 2500 euros.
Quand bien même le ton fataliste de l’appel, doublé d’un ultimatum de 24 heures, prêtait à céder à la tentation, Pearl.fr a proscrit toute conciliation.
Les rouages de la stratégie de lOlzSec étaient pourtant bien huilés. En plus de préciser que la faille était toujours active (les victimes potentielles auront soin de relever tout mouvement suspect sur leur compte bancaire), l’assaillant a fait part de son contrôle total de la situation.
« J’ai mis en place des backdoors sur chacun de vos serveurs. Modifier les mots de passe est donc futile, d’autant plus que je dispose d’une sauvegarde complète de votre base de données« , a-t-il déclaré d’un ton injonctif, menaçant en aparté d’opérer un « défacement » du site.
Pearl.fr, qui entend déposer plainte, a délivré à Zataz sa version des faits, moins pessimiste s’il en est : en tout et pour tout, 3700 comptes compromis et aucune donnée bancaire.
Les victimes présumées se sont néanmoins vu adresser un mail et leurs mots de passe ont été immédiatement réinitialisés. Le système de chiffrement des données est renforcé pour l’occasion.
Crédit image : © VRD – Fotolia.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…