Domino’s Pizza – Piratage de base de donnée, une histoire d’extorsion

Home / Sécurité / Domino’s Pizza – Piratage de base de donnée, une histoire d’extorsion

Domino’s Pizza, on sait pourquoi on y va ! Pour se faire pirater !

Victime d’un piratage, la branche belge et Française de la société Domino’s Pizza s’exprime sur les médias sociaux pour expliquer la situation :

Domino’s Pizza utilise un système de cryptage des données commerciales. Toutefois les hackers dont nous avons été victimes
sont des professionnels aguerris et il est probable qu’ils aient pu décoder le système de cryptage comprenant les mots de passe.
C’est la raison pour laquelle nous vous recommandons de modifier votre mot de passe, par mesure de sécurité.
Nous regrettons fortement cette situation et prenons cet accès illégitime très au sérieux.

Comme dans la plupart des cas de piratages, les données des utilisateurs sont pris pour cible dans le but de la revente d’information, toutefois ici les pirates ne se sont pas arrêtés là, ayant probablement réussis à décrypter tous les mots de passe utilisateurs, ils font publiquement pression sur Domino’s Pizza en leur proposant sur les médias sociaux de payer une rançon de 30 000 € en l’échange de laquelle les pirates ne diffuseront pas la liste complète de toutes les informations personnelles des clients comprenant adresse, nom complet, numéro de téléphone et mot de passe.

Dans le cas ou Domino’s Pizza ne payerait pas, la stratégie la plus payante pour les pirates n’est pourtant pas de diffuser cette liste mais plutôt de vendre ces informations sur le marché noir.

Les adresses complètes et numéros de téléphone des clients sont la plupart du temps vendues à des sociétés peu scrupuleuses qui font miroiter un voyage dans les îles à qui veut bien décrocher son téléphone, bien évidemment vous ne gagnerez jamais rien d’autre qu’une facture téléphonique plus longue que d’habitude en répondant à ces appels aux troublantes voix métalliques.

Votre adresse courriel sera elle aussi vendue sur le marché noir, qui accompagné de vos informations complètes permettra de fabriquer des courriels frauduleux plus vrai que nature pour des arnaques et pishing. Habitués à ce que les services sur lesquels ils sont inscrits communiquent avec eux en utilisant leurs informations personnelles, la plupart des internautes s’attendent à recevoir des courriels nominatifs lorsqu’ils communiquent avec de grandes entreprises. Une relance de votre opérateur téléphonique pour une facture impayée qu’on vous invite à payer en ligne, une facture d’électricité, des impôts, taxes professionnelles, votre compte paypal n’est plus à jour, on vous invite dans tous les cas à vous connecter pour valider des informations. Après avoir cliqué sur un lien contenu dans ce courriel, le site internet qui se présente à vous ressemble pixel pour pixel au site sur lequel vous vous attendiez à accéder, seulement ce n’est pas le même site, et en entrant vos informations de connexions vous transmettez en fait votre mot de passe aux pirates, qui s’empresseront alors d’alléger votre compte en banque de toutes vos économies.

Enfin et dans le pire des cas, en piratant la base de donnée de domino pizza, les pirates sont en mesure d’exploiter votre mot de passe, la plupart du temps mal crypté ou crypté avec un algorithme obsolète une base de donnée de 600 000 utilisateurs dont les mots de passe sont cryptés avec le standard MD5 comme c’est probablement le cas dans le cas de Domino’s Pizza peut être décryptée en moins d’une semaine. Comme dans la plupart des cas, les mots de passe sont déjà décryptés lorsque la société se rend compte du piratage et décide de communiquer sur ce piratage.

Le couple mot de passe / adresse courriel sera également revendu sur le marché noir à d’autres pirates, spécialisés dans l’usurpation d’identité, le vol bancaire, le blanchiment d’argent etc. Votre adresse courriel et votre mot de passe seront testés sur tous les sites sur lesquels vous êtes susceptible d’être inscrit, à commencer par votre adresse courriel. Si votre mot de passe Domino’s pizza est le même que celui de votre adresse courriel, des pirates sont probablement en train de scanner vos courriels à la recherche d’échanges avec un conseiller bancaire, des courriels d’inscriptions à d’autres services qui leur permettront de connaitre tous les mots de passe que vous utilisez et tous les services que vous fréquentez, jackpot, un compte bancaire, un compte paypal, un compte sur lequel ils peuvent récupérer un numéro de carte de crédit, un relevé d’identité bancaire, un numéro d’assurance sociale, un bulletin de salaire, une preuve d’identité numérisée envoyée quelques années plus tôt à une administration quelconque …

En automatisant toutes ces actions via un réseau de botnet (ordinateurs particuliers piratés) ou des services légitimes de cloud computing, des pirates bien organisés peuvent en quelques jours transformer votre vie en enfer administratif et financier, contractant des prêts en votre nom et vidant tous vos comptes bancaires.

En stockant des informations clients avec un cryptage obsolète sur un réseau informatique vulnérable, la société Domino’s pizza fait preuve de grave négligence, une négligence qui lui coûtera bien plus que la rançon que les pirates demandent.
D’un point de vue de l’image de l’entreprise, un net recul de ventes est à prévoir, d’une part parce qu’une telle négligence ne laisse rien présager de bon sur la santé et les pratiques sanitaires de l’entreprise, d’autre part parce que la confiance client est facilement brisée. Une campagne de communication pour rétablir la confiance des utilisateurs et attirer à nouveau les clients dans la pizzeria sera également nécessaire.

Recommended Posts
Comments
pingbacks / trackbacks

Laisser un commentaire