Horror404x/horrormar44. C’est le nom du cyberhacker qui a revendiqué, parfaitement décomplexé, des données qui viennent d’avoir lieu chez Boulanger, Cultura, Truffaut et désormais Grobill. 20 Minutes vous rappelle les faits… et vous met en garde contre leurs conséquences.

Des millions de données clients compromises

Dans la nuit du 6 au 7 septembre 2024, la chaîne de produits culturels se fait pirater les données de 2,6 millions de clients : nom, prénom, adresse mail, adresse postale, date de naissance, numéro de téléphone et détails des produits achetés. Les données relatives aux mots de passe « ne sont pas compromises », rassure Cultura le mardi 10.

Toujours dans la nuit du 6 au 7, le spécialiste des équipements tech et électroménager fait lui aussi les frais d’un braquage en règle d’Horror404x/horrormar44, avec, cette fois, 27 millions de comptes absorbés. Bingo ! Et voici que la chaîne de jardinage se fait, elle aussi, siphonner des « données personnelles liées aux commandes réalisées sur truffaut.com » : nom, prénom, adresse mail, adresse de livraison. Là encore, les données bancaires de 277.000 comptes concernés n’ont pas, ou n’auraient pas été volées. A qui le tour ?

Grosbill, le spécialiste de l’équipement high-tech ! Alors que nous écrivions ces lignes, le jeudi 12 septembre, la firme nous a adressé un mail (reçu à 16h27), indiquant qu’une « tentative récente d’intrusion a ciblé une partie des systèmes informatiques de l’entreprise ». C’est l’hécatombe dans le retail français !

« Ça me met hors de moi ces communiqués de presse laconiques, et catastrophiques, non et non ! », s’insurge Clément Domingo, alias SaxX, le « gentil hacker » dont le compte LinkedIn est suivi par plus de 35.000 abonnés.

Négociations sur Telegram

La cause de ces braquages de données à répétition ? Un même prestataire informatique ciblé. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a confirmé que « les interdépendances entre les acteurs informatiques sont une réalité. » Les problèmes ont été circonscrits d’après les enseignes, qui ont prévenu leurs clients, comme le veut la loi. Mais le mal est fait.

Les données volées sont déjà en vente sur BreachForums. Il s’agit d’un espace bien connu dans le milieu de la cybercriminalité. Horror404x/horrormar44 y invite d’ailleurs les acheteurs potentiels à négocier en toute discrétion sur la messagerie cryptée  ! « J’ai eu accès à lui directement. J’ai cramé un compte, ce n’est pas grave. Mais je lui ai parlé en me faisant passer pour un acheteur. Il n’avait pas encore vendu la base de données initiale de Boulanger. 404x/horrormar44 doit avoir entre 35 et 45 millions d’infos », relate SaxX à 20 Minutes.

Relâchement après les JO

« On voit que la tendance est à l’accélération de ce genre d’attaque. La période des avait fait beaucoup peur, avec les équipes de sécurité des entreprises sur les dents. Une vigilance sans doute actuellement moindre peut être l’une des causes de ces attaques à répétition », estime Séven Lemesle, CEO de . Boulanger, Cultura, Truffaut et Grobill étaient-ils mal protégés ? Pour Séven Lemesle, qui aide les entreprises à concrétiser leur transformation numérique (il a pour clients le Ministère de l’Intérieur, la BPI ou Saint-Gobain), « ce serait aller vite en besogne », car selon lui, « le risque zéro n’existe pas ». « Il est aussi possible que ce soient des outils applicatifs qui aient subi une faille », explique-t-il.

Au moins deux autres entreprises vont suivre

« Ce ne sont pas des cyber attaques classiques, autour des ransomwares, avec des demandes de rançon aux entreprises en paralysant un système. On est ici sur une autre forme de cybercriminalité, une cybercriminalité d’appel où l’on va hacker les enseignes puis revendre les données », décrypte Clément Domingo, alias SaxX. « Dans les prochains jours, le scénario va se reproduire. Je connais les noms d’au moins deux autres entreprises concernées », assure « le gentil hacker » qui évoque un total de sept à huit enseignes nationales qui auraient été piratées…

Se pose aujourd’hui, plus brûlante qu’hier, la question de la préparation de ces sociétés à ces intrusions dans leurs systèmes. « Nous priorisons auprès de nos clients une identification des risques, la classification de leurs données, la formation des personnels et de régulièrement se faire auditer », explique Séven Lemesle, CEO de WeScale. Qui constate comme tendance de fond que « les équipes de sécurité deviennent de plus en plus puissantes ».

N’y verrons-nous que du feu ?

Que va-t-il se passer dans les semaines qui viennent pour les clients de Boulanger, Cultura, Truffaut et GrosBill ? Il faut d’abord savoir que leurs données auront été revendues une bouchée de pain. Celles de Boulanger avaient été mises à prix 2.000 euros ! Mais si nos données ne valent pas cher, elles peuvent rapporter gros… Car ensuite, un mot d’ordre : « méfiance ! », clame SaxX.

Selon lui, des campagnes très étalées et extrêmement ciblées vont apparaître avec, dans la ligne de mire des hackers, des tentatives massives pour collecter des données bancaires dans des régions, auprès d’un type de population et même certaines villes en particulier. « Si vous recevez un mail de Boulanger ou de Cultura vous invitant à mettre à jour vos coordonnées bancaires », abstenez-vous à tout prix d’y répondre, complète le patron WeScale ! Reste, comme le constate SaxX, que « quand c’est bien fait, les gens n’y voient que du feu ». D’autant, selon lui, qu’avec les prochains , les pirates disposeront d’une fenêtre de tir idéale.

Pas de fatalité, selon le gentil hacker SaxX

Une fatalité ? « Je ne suis pas du tout d’accord ! Le problème est qu’en France, tout le monde s’en fout ! », s’insurge Clément Domingo. Pour « le gentil hacker », l’ANSSI, (l’Agence nationale de la sécurité des systèmes d’information) et la CNIL (Commission Nationale de l’Informatique et des Libertés) sont débordés. Et les ministres ou ministres délégués au numérique pas assez volontaires, ni efficaces.

Après Jean-Noël Barrot, ministre délégué chargé du numérique (de 2022 à 2024), c’est une « simple » secrétaire d’Etat qui a ensuite pris en charge ces dossiers sensibles (Marina Ferrari, de février à septembre 2024). « On a rétrogradé, on voit le peu d’intérêt porté par le gouvernement à la protection des données », râle Clément Domingo. Qui fait un appel du pied à , le nouveau premier ministre. Et milite pour une plus grande et bien meilleure sensibilisation et éducation du public à ces problèmes. À défaut, l’histoire ne cessera de se répéter.