Piratage chez Bureau Vallée

La boutique « Bureau Vallée » vient d’alerter ses clients du passage d’un pirate informatique dans son espace de paiement en ligne. Une cyberattaque qui ressemble à celle vécue par EasyJet ou encore TicketMaster.

C’est dans une communication de crise rondement menée que l’enseigne « Bureau Vallée » a alerté ses clients du passage d’un pirate informatique dans les données l’entreprise. « Nous avons souhaité vous écrire au sujet d’un incident récent de cybersécurité chez Bureau Vallée. La période actuelle de crise sanitaire a vu le nombre de cyberattaques exploser. Nous n’avons malheureusement pas été épargnés. » Autant dire que le « nous avons souhaité » a bon dos ! Ils n’ont pas le choix. Le RGPD impose une communication à l’intention des clients en cas de la perte de données personnelles. Et le piratage en fait parti !

Le 25 mai dernier, l’entreprise a été la cible d’une « attaque hautement sophistiquée sur notre site web ». Les premiers résultats de l’enquête ont révélé que cette action malveillante a concerné le système de paiement en ligne auquel notre site internet a recours et a conduit à la mise en place frauduleuse d’un système de duplication des informations des cartes bancaires au moment d’un achat depuis notre site.

Exfiltration pirate qui aurait durée 2 mois

Cela ressemble fortement à l’attaque EasyJet, Ticketmaster, ou encore cette faille révélée en 2018 qui permettait (et qui permet encore dans certains cas, NDR) à un pirate de se coller à une boutique légitime. Je vous montrais une technique de ce type qu’auraient pu exploiter des pirates sur des dizaines de boutiques Francophones, en 2018.

Les équipes techniques et les prestataires en charge de l’administration du site de Bureau Vallée et de la solution de paiement en ligne ont supprimé le système de duplication des cartes bancaires, mis en maintenance le site et suspendu l’ensemble des accès au site y compris les comptes administrateurs, modifié tous les mots de passe des administrateurs du backoffice, vérifié l’ensemble des comptes existants et ont renforcé les mesures d’authentification. Bref, un gros, trés gros nettoyage !

Tout client ayant passé commande sur le site internet pendant la période du 26 mars au 26 mai 2020 est potentiellement concerné par cet accès frauduleux à ses données bancaires. Nous vous invitons donc à vérifier vos paiements par cartes bancaires. Dans le cas de détections de transactions anormales et injustifiées, nous vous invitons à vous rapprocher de votre banque qui prendra les mesures nécessaires et qui reste compétente en cas de transaction frauduleuse.

Autant dire que chaque client doit IMPÉRATIVEMENT veiller sur son compte bancaire. Si derrière ces attaques se cachent encore des membres du groupe Joker’s, pardon du terme, mais vous êtes dans la merde !

Big Badaboom !

Pourquoi penser qu’un groupe de type Joker’s peut se cacher derrière cette attaque ? Les cibles et la méthode qu’annoncent les victimes. Se coller à la boutique et cloner les données rentrées par les clients légitimes.

En janvier 2020, je vous expliquais comment le groupe pirate « Jocker Stash » (Fin7) avait commencé à diffuser 30 millions de données bancaires volées l’enseigne Wawa Inc., une chaîne de stations essence/garagistes basée dans l’état de Pennsylvanie (USA). L’américain alertait les autorités et ses clients du piratage de ses systèmes de traitement des cartes de paiement. L’ensemble des sites de Wawa Inc impactés. Un logiciel avait ponctionné toutes les données bancaires des clients durant 9 mois.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Henry Beaucoup Reply

    J’ai fait des achats sur leur site durant cette période, que puis je faire pour me protéger ? Ça servirait a quelque chose de prétexter une perte de CB pour avoir de nouveaux codes ?

    • Damien Bancal Reply

      Bonjour,
      Alerter votre banque ;
      Utiliser des cartes pré payées.
      Cordialement

  2. BlouBlou34 Reply

    J’ai commandé sur le site de bureau vallée. Pour une fois que je n’allais pas chez amazon ! Du coup, autant résilier sa carte bleu non ? C’est surement le mieux a faire.

  3. Younous Reply

    Bonjour,

    Dans l’article sur datasecuritybreach.fr que vous citez je lis qu’il s’agit d’un malware exécuté coté client (browser). Est-ce qu’il est potentiellement bloqué par un anti-virus ?
    Est-ce que tout visiteur ayant fait un achat sur leur site est forcément piraté sans exceptions ?

    Merci pour votre partage et ce blog fort intéressant.

    Cordialement

    • Damien Bancal Reply

      Bonjour,
      Il n’est bloqué qu’à la condition ou l’antivirus connait l’ennemi.
      C’est d’ailleurs pour cela que les éditeurs de solutions de sécurité informatique propose des outils supplémentaires, mais aussi pour un coût supplémentaire, dans leurs solutions : anti spam, anti phishing, anti virus …
      Le problème de ce type d’attaque, si c’est bien cette méthode employée, elle reste transparente aux yeux de tous 🙁
      Cordialement

  4. Kumanao Reply

    Je vous confirme 400 euros payés en Finlande et Estonie.
    J’ai fait opposition à ma carte et dois m’opposer aux transactions mardi. Génial….

Répondre à Henry Beaucoup Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.