Le Monde Informatique dans la tourmente d’un vaste lot de brèches de données

Début novembre, nos confrères de ZDnet révélaient la diffusion, via un forum de pirates russophone, d’un très vaste lot de comptes utilisateurs de sites Web variés. Il s’agit des archives d’un site spécialisé appelé Cit0day.in et fermé fin septembre. Quelques jours plus tôt, une bannière y avait remplacé la page d’accueil. Selon celle-ci, le nom de domaine correspondant aurait été saisi par le FBI et le ministère américain de la Justice. Mais ladite saisie n’a pas été confirmée par les autorités américaines. Cit0day était apparu début 2018 et louait l’accès aux données dérobées.

Les spécialistes italiens du renseignement sur les menaces de D3 Lab ont averti, le 3 novembre, de la publication des données de Cit0day : plus de 21 sites Web concernés, pour plus de 50 Go de données non compressées et près de 227 millions de comptes utilisateurs. De son côté, Inteligence X a annoncé le 10 novembre avoir indexé ces données, désormais accessibles via son moteur de recherche. Le célèbre service Have I been pwned semble en train de les indexer à son tour : il y faisait référence ce dimanche 15 novembre, mais la mention a depuis été supprimée. Peut-être parce que, derrière Cit0day, il n’y a pas un, mais des milliers de sites Web concernés.

Parmi eux, une surprise : nos confrères du Monde Informatique. Nous en avons fait la découverte alors que nous enquêtions sur la cyberattaque qui a touché Paris Habitat : nous cherchions la trace d’e-mails de collaborateurs du bailleur qui auraient pu être compromis et utilisés par les attaquants. La base porte là sur plus de 150 000 comptes utilisateurs, avec condensat de mot de passe ou mot de passe en clair selon les cas. Et en particulier pour environ 15 000 comptes présentés dans une liste distincte, hors « rejetés » et « non trouvés ».

Nous avons laissé le temps à nos confrères de communiquer les premiers sur le sujet. Joint par téléphone, Nicolas Beaumont, président d’IT News Info, nous a expliqué être au courant et a précisé qu’une « équipe interne regarde ça » : « nous avons des mesures correctrices en place, et nous allons suivre le processus, comme toute entreprise, pour informer qui doit l’être ». En somme, « nous faisons ce que nous devons faire, dans le respect de notre audience et des autorités, ainsi que de la réglementation ». Et Nicolas Beaumont d’assurer que « nous sommes assez structurés depuis deux ans pour gérer ces éléments-là ». Tout en restant assez évasif quant à un éventuel plan de communication.

Les lecteurs de LMI font partie de la communauté IT B2B à laquelle appartiennent également nos lecteurs. Et si les bonnes pratiques sont répétées à l’envi, nous sommes bien conscients que des mots de passe continuent à être réutilisés. Il nous est donc apparu important, dans l’intérêt de cette communauté, de relever cet incident qui semble remonter à février 2019.

Le jeu de données de Cit0day ne se limite malheureusement pas ça. Selon celui-ci, le site Web de l’OPH Bondy Habitat a également été affecté par une brèche, avec là environ 1 700 comptes concernés, tout comme celui de l’école des avocats du sud-ouest, avec un peu moins de 5 700 comptes, celui de l’association Minerve, le site Web jeu-concours.biz (plus de 600 000 comptes), ou encore aerocontact (près de 300 000 comptes), et Pierres de Paris (plus de 60 000 comptes). Nous n’avons identifié que quelques sites Web parmi le lot massif de données de Cit0day. Mais nous les avons chacun alertés.