Un pirate vient de mettre en vente une base de données contenant les informations personnelles de 39 millions de Français. L'offre est apparue sur le dark web et sur certains forums dédiés au piratage. On y trouve  les noms, prénoms, adresses postales, numéros de téléphones et adresses électroniques des victimes. Grâce à ces données, un pirate aguerri peut mettre sur pied une campagne de phishing efficace. 

D'après une enquête réalisée par Damien Bancal, expert en sécurité informatique du blog Zataz, un pirate informatique a mis en vente une base de données contenant des informations sur 39 millions de Français. Le fichier a été mis en vente sur des plateformes du dark web et des forums accessibles sur le clear web.

Pour convaincre les acheteurs intéressés de ses dires, le hacker propose un échantillon gratuit de 100 000 exemples. Afin d'en savoir plus sur les données collectées, l'expert en cybersécurité s'est fait passer pour un acheteur potentiel. Il a ainsi obtenu l'échantillon gratuit de la part du vendeur.

Lire aussi : une fuite expose 38 millions de données personnelles des utilisateurs Microsoft

Ces données sensibles mettent en danger les 39 millions de Français concernés

L'échantillon concerne des Français résidents un peu partout dans l'Hexagone. “J’y ai vu des Marseillais, comme des Tahitiens, Lyonnais, Parisien ou encore des habitants de communes plus modestes comme Gerzat, Ussel ou Le Bourget”, explique Damien Bancal.  On ignore où le pirate a récupéré toutes ces données. Le rapport de Zataz remarque d'un terme récurrent revient dans la base de données : Real Money  (Argent réel). Il s'agit d'une expression courante dans le domaine de l'investissement, du jeu en ligne (casino) ou des cryptomonnaies.

Pour Damien Bancal, “il y a de forte chance que ce commerçant pirate a aggloméré plusieurs sources”. Certaines techniques prisées par les hackers, comme le scrapping, permettent en effet d'extraire les données publiques disponible sur Internet par le biais de plusieurs sites.

Ces données sont loin d'être anodines. Exploitées par un hacker, elles peuvent servir à échafauder des campagnes de phishing efficaces. Les cybercriminels les plus aguerris s'appuient en effet sur ces données pour tailler sur mesure leurs mails ou SMS de phishing, et ainsi endormir la méfiance des victimes.

De plus, les données pourraient être utilisées pour réaliser une attaque par force brute. Grâce à des logiciels dédiés, le pirate va tester toutes les combinaisons afin de deviner votre mot de passe en l'espace de quelques heures. Il suffit parfois d'une adresse de courriel électronique pour mettre en danger votre sécurité.

Source : Zataz