Piratage Netissime : « Comment j’ai récupéré 60 000 adresses »

Cette article à pour objectif de vous sensibiliser à la sécurité de vos mots de passe.

7 000 euros : c’est l’argent qu’a touché ce jeune homme pour accéder au fichier client de l’hébergeur lyonnais Netissime. 

Hier, nous publiions un article intitulé « Netissime attaqué ? Non, victime d’une faille du help desk ». Nous relations alors l’affaire suivante : quelqu’un avait réussi à utiliser le système de ticket d’incident pour envoyer un mailing massif aux clients, diffusant un faux message. Selon Netissime, une fonction de l’outil de help desk (Kayako) était activée par défaut, permettant de contacter la base client sans toutefois se l’approprier.

Ce n’était pas tout à fait vrai. Ce matin, nous avons pu nous entretenir avec l’auteur de ce qui peut désormais s’appeler un piratage, ou tout du moins une introduction volontaire. Il a une vingtaine d’années : appelons-le Nathan. « J’ai été contacté grâce au bouche à oreille », nous explique-t-il. Ce n’est pas sa première fois. Il a déjà sévi dans d’autres affaires, pour le compte de « grosses entreprises. Par exemple, le concurrent n°1 de la célèbre entreprise qui vend des coffrets cadeaux. Eux aussi voulaient récupérer la base de fichiers clients ».

Mot de passe : nutella

Nathan a donc été contacté par un concurrent de Netissime, qui souhaitait lui aussi récupérer un gros volume d’adresses mail. « J’ai essayé plusieurs hébergeurs. C’est assez difficile pour les plus gros d’entre eux, de pénétrer dans le système. Netissime m’est apparu comme la cible parfaite ». Comme souvent dans ce genre d’affaires, c’est à une défaillance humaine qu’il doit son intrusion. « Ce n’est pas un piratage à proprement parler. Je n’ai écrit aucune ligne de code », explique-t-il. Nathan s’est débrouillé pour récupérer des noms d’employés. Comme cette fameuse Marion, commerciale. « J’ai simplement lancé un script : ça m’a pris moins de 12 heures pour trouver son mot de passe. Ni accent, ni caractères spéciaux, ni majuscules. Son mot de passe : nutella ».

D’autant plus que Nathan précise : « Si vous êtes inscrit chez Netissime, vous l’êtes automatiquement au niveau du suivi de tickets. C’est prendre deux fois plus de risques pour l’hébergeur, sachant qu’en plus, les mots de passe sont stockés en clair ». Il ne restait plus qu’à Nathan à remettre à la personne, ou l’entreprise qui l’a mandaté pour ce « travail », « l’identifiant et le mot de passe pour accéder en tant qu’administrateur ». C’est donc ainsi qu’une base client comprenant 60 000 adresses mail a été récupérée. Parmi elles, seules 10 à 20 000 seraient exploitables (si l’on se réfère aux adresses mails, aux données de connexions, etc.). Nous publions ci-dessous une petite partie du fichier Netissime que nous a transmis Nathan pour prouver ce qu’il avance :

Reste quelque chose que l’on ne s’explique pas : la fameuse entreprise a ensuite utilisé la fonction d’envoi massif de mail pour envoyer le message que nous publiions hier dans notre précédent article. Mais pourquoi avoir redirigé vers mac-heberg.com ? « Personnellement je n’ai aucun contact avec ces gens-là, je ne les connais pas. Selon moi, mon client a fait ça pour brouiller les pistes… », estime Nathan.

De l’importance capitale des mots de passe

Suite à ce #Netissimegate, l’hébergeur a renforcé sa sécurité, et visiblement changé quelques-uns de ses mots de passe. C’est surtout cela que révèle cette histoire : vos mots de passe doivent obligatoirement être très sécurisés, peu importe le service que vous utilisez. Un même mot de passe utilisé pour plusieurs services (votre banque, vos mails, Facebook ou autre) peut permettre d’accéder à toute votre vie numérique. Nous invitons bien entendu les clients de Netissime à RAPIDEMENT changer leurs mots de passe.

Le second constat est un brin plus alarmant : Nathan n’est pas un cas isolé. Et même plus : les entreprises qui ont recours à ces pratiques sont de plus en plus nombreuses. Nathan nous le confirme : « J’ai de plus en plus de demandes », confie-t-il. Pour lui, le compte est rapidement fait : il a touché 7 000 euros pour avoir « ouvert la porte » de Netissime. De plus, les entreprises qui font ce genre de choses sont très prudentes. Nathan a été payé en liquide, dans une enveloppe venant d’Espagne apportée par un transporteur privé. Avant de mettre fin à cette histoire, rappelons deux choses. La première : Netissime a déposé une plainte contre X et une enquête est en cours. La seconde, un rappel à la loi :

« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 euros d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende ».

Que dit Netissime ?

Nous avons bien entendu contacté Netissime pour avoir sa version des faits. Pour lui, une personne a effectivement récupéré les contacts (et non les clients) issus de l’outil de help desk Kayako. Mais l’hébergeur nie s’être fait pirater sa base de données. Une version qui est donc opposée à celle de Nathan.

Source : http://www.linformaticien.com/actualites/id/31329/piratage-netissime-comment-j-ai-recupere-60-000-adresses.aspx