Cet été, La Poste Mobile a été frappée par un sévère rançongiciel. Quels sont les données exposées et les risques encourus par les utilisateurs ? Nous avons contacté un expert et le groupe La Poste pour tenter de défricher ce terrain miné.
La Poste vit décidément une année compliquée. Ce qui se répercute forcément sur les usagers. Après les déboires des utilisateurs de Laposte.net, privés d’accès à leur boite mail, ce sont les abonnés La Poste Mobile qui ont de gros motifs d’inquiétude. Car le 4 juillet dernier, l’opérateur mobile a été victime d’une attaque par rançonlogiciel menée par le groupe de pirates Lockbit. Celui-ci a réussi à dérober quantité de données personnelles qu’il s’est empressé de lâcher dans la nature, La Poste refusant de payer la rançon exigée.
Le site Zataz révèle ce lundi que la base de données interceptée a été diffusée massivement sur “quatre espace pirates”. Auprès de Tom’s Guide, le lanceur d’alerte Damien Bancal précise que ces espaces peuvent se trouver aussi bien sur le dark web que sur le web classique. “Je ne peux pas en dire plus. Ils sont accessibles soit en payant [mais c’est genre 2 euros] ou gratuitement”. Une embellie pour les pirates qui rôdent…
La Poste Mobile piratée : quelles sont les données exposées ?
Alors que l’opérateur compte 1,8 million d’abonnés, Zataz assure qu’un fichier de 64 Mo compressé contient la bagatelle de 533 000 données de clients. “L’analyse des données étant actuellement en cours, nous ne pouvons confirmer le nombre de clients concernés”, rétorque de son coté le groupe La Poste, contacté par la rédaction de Tom’s Guide.
Mais quelles sont les données personnelles que l’on retrouve dans ce fichier ? “Aucun numéro de carte bancaire, ni aucune pièce d’identité n’ont été divulguées, assure l’entreprise. En revanche, des données variées telles que des noms, des prénoms, des adresses postales et électroniques, numéros de téléphone, IBAN ont, dans certains cas, été exposées”, nous explique-t-on.
La Poste Mobile piratée : la porte ouverte à une flopée d’arnaques
Ces données ont d’ores et déjà été exploitées à des fins malveillantes, confirme Damien Bancal. “Déjà par les pirates de Lockbit qui ont diffusé les données reprises ensuite par des pirates sangsues (ils récupèrent les actes malveillants des autres). Entre les mails, les numéros de téléphones… il y a beaucoup d’actes pirates possibles. Comme récupérer les téléphones pour lancer des arnaques au Compte personnel de formation (CPF)”, déplore l’expert.
Certains usagers craignent en outre que leur IBAN (International Bank Account Number) soit utilisé pour leur ponctionner de l’argent. À ce sujet, La Poste se veut rassurante, rappelant qu’“aucune personne morale ou physique n’a le droit d’utiliser un IBAN pour réaliser un prélèvement sans un consentement expressément formalisé”. Et de souligner qu’il existe un “délai très protecteur de treize mois suivant la date de débit pour contester un prélèvement frauduleux sans signature du titulaire”.
À lire > Un ransomware responsable du décès d’une patiente dans un hôpital allemand
La Poste Mobile piratée : comment réagir ?
Face à cette fuite, les clients La Poste Mobile doivent rester en alerte. Damien Bancal préconise notamment de “changer d’adresse mail si cela est possible. Elle sera noyée de spams en tout genre”. Le spécialiste exhorte en outre les utilisateurs à se méfier des SMS et des MMS reçus et à “mettre en place une veille personnelle pour repérer rapidement les données diffusées (où, quand, etc). Il faut être proactif face aux individus malveillants. Leur mettre un maximum de bâtons dans les roues”, conclut-il.
De son côté, La Poste Mobile recommande à ses clients de “ne pas utiliser le même mot de passe pour plusieurs sites internet ou services en ligne”. Mais aussi de “ne jamais communiquer d’informations bancaires confidentielles tels que le code secret et les identifiants d’accès par courrier, email ou téléphone”. Des conseils qu’il faut d’ailleurs appliquer constamment pour éviter les escroqueries et les piratages qui pullulent.
Après le couac de Laposte.net et cette fuite massive de données, La Poste doit urgemment muscler son service informatique. L’entreprise est d’ailleurs possiblement dans le viseur de la Commission nationale de l’informatique et des libertés (Cnil), chargée de veiller à la protection des données personnelles des citoyens.