Cartes grises, Havas Voyages... fuites de données massives cette semaine sur les sites web français

"Mr. Robot". USA Network

Plus de 150 millions de données d'internautes français sont à vendre sur le marché noir. C'est ce qu'a repéré le site Zataz ces derniers jours. Les données proviennent de plusieurs sites français, comme Demarchescartegrise.com, 1001pneus.fr, Campings.com ou Havas Voyages. Elles ont été volées entre 2017 et 2018, mais seulement mises en ventes cette semaine, par un même individu, selon Damien Bancal, journaliste spécialiste de la cybersécurité et créateur de Zataz, interrogé par Business Insider France. "Il déstocke", affirme-t-il. 

Le pirate vend ainsi les données de 200 000 utilisateurs du site Demarchescartegrise.com pour 208 euros. "Un tarif honnête par rapport au marché", indique Damien Bancal. Dans un premier fichier, on trouve les identités, mots de passe et e-mails de 510 000 personnes. Dans un second, les adresses postales et numéros de carte grise de 200 000 individus. Selon le spécialiste, ces données pourraient servir à faire du spam téléphonique ou à cibler les propriétaires de voitures de luxe.

Concernant Campings.com, ce sont les données de 2,2 millions d'utilisateurs du site de réservations qui ont été mises en vente. Un fichier qui comporte e-mails, mots de passe, noms, prénoms, adresses et numéros de téléphone. Pour Havas Voyages, les données de 150 000 clients seraient concernées. Pour Damien Bancal, ces données peuvent permettre à une entité mal intentionnée de pratiquer l'usurpation de société : se faire passer pour l'entreprise d'où proviennent les données et ainsi obtenir les coordonnés bancaires des clients.

La plus grosse fuite de données semble toucher le site de jeux vidéo en ligne Beemoov.com, dont les données de 90 millions d'utilisateurs auraient été volées. Parmi les entreprises concernées, on compte également Recherche-collocation.com, Phone and Phone, le Groupe Le Figaro, Allobebe.fr, ou encore les sites d'achat de vin vinatis.com et WineandCo.com.

'Une mine d'or pour escroquer'

Damien Bancal travaille depuis 30 ans sur les sujets de cybercriminalité. Il surveille notamment 5000 sites et forums pirates. Selon lui, le pirate qui vend toutes ces données est "un internaute qui s'y connait et qui comprend le fonctionnement des données personnelles". Il pense que l'individu s'est procuré les données pour les compiler dans des fichiers d'e-mails et mots de passes, ou de numéros de téléphone, qu'il a ensuite revendus ou utilisés lui-même. "Une mine d'or pour escroquer", explique le journaliste.

Si aucune donnée bancaire n'est en vente, Damien Bancal souligne qu'il y a "tout le reste de la vie" numérique des personnes dans ces fichiers. Il conseille d'ailleurs "aux entreprises de déposer une plainte". Les victimes sont principalement des PME, qui n'ont pas forcément les ressources humaines ou le budget pour assurer leur sécurité.

Les données n'ont pas forcément été volées par un hacker. "Cela peut être de la malveillance interne, ou de la part d'un prestataire", prévient Damien Bancal.

En réaction aux informations publiées, le service de presse d'Havas Voyages a envoyé ce communiqué à Zataz : "nous ne déplorons à ce jour aucune tentative d'attaque de nos serveurs. Nous avons effectué toutes les vérifications de sécurité concernant les informations que nous détenons concernant nos clients. Ces dernières sont dûment protégées. Par ailleurs, nous ne conservons pas d'informations se rapportant au moyens de paiements de nos clients sans les anonymiser ou les crypter."

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Le cours du Bitcoin est-il en train de redécoller ? Voilà pourquoi l'optimisme revient.

VIDEO: Cette maquilleuse créé d'effrayants personnages — vous n'imaginerez jamais ce qu'elle utilise