Journal des cyberattaques – Avril 2021

  • Post category:blog

Cyberattaque sur la mairie de Lille

Un piratage de la ville de Lille a eu lieu début mars, et l’histoire est toujours en cours, puisque nous venons de découvrir quelles étaient les données récupérées par les attaquants. Pour remettre un peu de contexte quant à cette attaque, elle remonte au 28 février 2023, où des attaquants se sont introduits dans le système d’information de la mairie de Lille, récupérant des données jusqu’alors non identifiées. 

Le mois suivant, des menaces ont été envoyées à des employés municipaux par les attaquants présumés, demandant une rançon. L’ANSSI et la CNIL ont alors été contactées. Le 7 avril, de nouveaux éléments sont découverts : des informations personnelles ont été dérobées. Les données concernées sont des adresses électroniques, des adresses postales, des numéros de téléphone, des IBAN ainsi que des dates et lieux de naissance. 

Cela concerne non seulement les lillois, mais aussi les communes affiliées de Lomme et d’Hellemmes. La mairie demande alors à l’ensemble des gens qui auraient pu donner des informations à leur mairie récemment d’être vigilants lors de la réception de mails, d’appels ou de messages suspects, de ne pas y répondre, de ne pas ouvrir les pièces jointes, de ne pas cliquer sur les liens, et de ne pas donner d’informations personnelles comme des mots de passe. 

Groupe Vikings

Supply chain - risques cyber - Port

Le groupe de casinos Vikings a été frappé par un rançongiciel ce mois-ci, obligeant les établissements de Fréjus et Sanary à fermer après la découverte de l’incident ce 19 avril. Malgré une réaction très rapide de la part du casino, qui a déclenché une cellule de crise instantanément après la découverte de l’attaque, le groupe a dû fermer ses deux établissements pendant 2 semaines. Bonne nouvelle tout de même : la date de réouverture est passée du 2 mai au 30 avril, une maigre consolation par rapport aux conséquences de l’attaque. La CNIL et l’ANSSI ont également été appelées sur cette affaire.

Piratage de Vinted

image_cyberattaques

Une attaque qui touche maintenant les consommateurs directement, puisque c’est la plateforme Vinted, un site de vente de seconde main entre particuliers, qui a été touché. Plus précisément, ce sont les comptes utilisateurs qui sont visés, puisque l’argent récupéré par les ventes est stocké dans un porte-monnaie virtuel avant d’être redirigé vers les comptes en banque des utilisateurs. 

C’est ce porte-monnaie qui était ciblé par les attaquants, qui cherchaient à accéder aux comptes des vendeurs, à changer le compte courant enregistré, et récupérer l’intégralité de l’argent présent sur le compte. Un autre axe d’attaque a été d’utiliser les cartes bancaires enregistrées sur les comptes afin de faire des achats exorbitants. Des témoignages montrent des personnes qui auraient fini endettées, ne pouvant plus acheter à manger ou se déplacer, avant la résolution du problème.

L’entreprise se défend d’une quelconque fuite de données de leur côté, et assure le remboursement des utilisateurs touchés par l’attaque. Ils décrètent que l’attaque serait du “credential stuffing”, c’est-à-dire la réutilisation de comptes qui auraient fuité en dehors de Vinted, et où les utilisateurs réutiliseraient leur mot de passe. Pour eux, l’incident, après le remboursement, est clos.

Des propriétaires d’armes anglais visés ?

De l’autre côté de la Manche, nos voisins anglais ont été visés par une cyberattaque très spécifique : la NSRA (National Smallbore Rifle Association) aurait été victime d’un vol de données, pouvant laisser supposer que les attaquants chercheraient à récupérer des armes directement chez les particuliers. 

La NCA s’est saisie de l’affaire et cherche à estimer le niveau de risque de cette attaque, mais des points bloquants compliquent l’affaire. En effet, l’organisation n’ayant pas accès aux serveurs, ils n’ont pas pu précisément déterminer qui étaient les victimes de l’attaque. Ils précisent néanmoins que seuls les serveurs “legacy” ont été touchés, et non la base de données entière, et que le portail membre n’a pas été atteint. 

Pas très rassurant pour les membres de l’association, qui pourraient être la cible d’attaques physiques pour récupérer les précieuses armes qu’ils possèdent, denrée rare en Angleterre dû au fort contrôle mis en place par le pays. Ils pourraient ensuite être utilisés, ou revendus au marché noir à un fort prix, pour les raisons évoquées précédemment. 

Des pubs dans Minecraft ?

L’un des jeux les plus populaires du 21e siècle devient un vecteur d’attaque ? Déjà, lors de la faille critique Log4J, l’un des premiers vecteurs d’attaque avait été les serveurs Minecraft, qui pouvaient être exploités et contrôlés juste par un message dans le tchat. Désormais, ce sont des clones de Minecraft, apparus sur l’Android Store, qui sont utilisés à des fins économiques, puisqu’un adware y est installé en arrière-plan. Au total, c’est 35 millions d’utilisateurs touchés par les 38 différentes versions de Minecraft. La plus célèbre, Block Box Master Diamond, a récolté plus de 10 millions de téléchargements. McAfee a examiné les différentes applications, et malgré l’absence de preuve définitive, la similarité des comportements des applications implique que c’est très probablement le même auteur à l’origine de plusieurs des applications. En effet, les paquets initiaux de ces applications utilisent la même structure : une requête POST à l’endpoint https://(id).netlify.app/3.txt, et les noms des applications sont très similaires. Une liste diffusée par McAfee est diffusée ici, détaillant l’ensemble des applications concernées.