Cyberattaque Free : comment des identifiants OpenVPN et un complice en interne ont ouvert la voie !
Comme vous le savez certainement, Free a été victime d'une importante fuite de données, qui a fait beaucoup de bruit et qui en fait encore aujourd'hui. Que s'est-il passé réellement lors de cette attaque ? Voici les dernières informations à ce sujet !
Pour rappel, il y a près de 2 mois, l'opérateur Free a été victime d'une importante cyberattaque ayant mené à la fuite de données personnelles de 19 millions d'abonnés, ainsi que 5 millions d'IBAN. Pour récolter ces données, le pirate est parvenu à obtenir un accès non autorisé à un outil de gestion utilisé par les salariés de Free.
Il y a quelques jours, Clément Domingo, alias SaxX, a fait des révélations sur l'origine de cette cyberattaque, en s'appuyant sur les nombreuses informations qu'on lui a transmises. Il s'avère que tout partirait d'un agent de Free, considéré comme un complice. Ce dernier, membre du service client (Free Proxi et Free Back Office), aurait communiqué ses identifiants de connexion OpenVPN à un tiers, qui pourrait être le cybercriminel.
Cet accès permet de se connecter aux outils de gestion du service client de Free, afin d'obtenir des informations sur les abonnés. Il y aurait 2 outils : Mobo pour les abonnés Free Mobile et Siebel pour les abonnés Freebox. Les données seraient, en quelque sorte, filtrées, pour que chaque agent puisse voir facilement les données des clients en fonction de la zone d'habitation.
Le scénario de l'attaque commence alors à se dessiner : le pirate a utilisé les identifiants OpenVPN pour l'accès initial à l'environnement de Free. Cela lui a permis d'avoir un accès restreint à certaines ressources internes de Free, dont des outils de gestion. Que s'est-il passé ensuite ?
Après l'accès OpenVPN, l'ingénierie sociale
Avec cet accès OpenVPN, le pirate pouvait accéder uniquement à certaines données, en fonction des attributions de l'agent "complice". Pour accéder à plus de données, le pirate serait parvenu à tromper d'autres agents Free, en se faisant passer pour le service informatique !
Une technique basée sur de l'ingénierie sociale : "Plusieurs autres agents Free ont reçu des appels du cybercriminel et des ses complices en se faisant passer pour le service IT... Hélas certains se sont fait avoir et ont a leur tour donner leurs identifiants...", peut-on lire dans le message de SaxX posté sur X.
À partir de là, le pirate a pu accéder à beaucoup plus de données et effectuer une énorme collecte d'information. La suite, vous la connaissez...
Finalement, encore une fois, cette cyberattaque et son déroulement montre que les accès VPN sont une cible privilégiée et qu'ils représentent un risque élevé. Il n'est pas rare que des identifiants fuites et qu'ils soient mis en vente sur le Dark Web. Ensuite, la négligence de certains salariés, n'a fait qu'empirer la situation, tout en permettant à l'attaquant de progresser.
Attendons de voir s'il y a une communication officielle de Free qui va dans ce sens. Cela semble cohérent, puisqu'à la suite de cet incident de sécurité, Free a suspendu la possibilité d'accéder aux données des clients lorsqu'un agent est en télétravail.
Normalement une VPN doit être accompagné par une adresse IP est une MAC . C’est le cas en suit pour le base de données, CRM, LDAP et tous les autres.
Ca sent plus complex que simplement avoir nom d’utilisateur et MDP. Soit une ordi de travail volé ou infecté, soit volontaire, soit Free a eu une System de sécurité assez basse, pour accepter une connexion VPN sur une IP/mac non contrôlée. Spoofing est facile, mais dans ce cas là, il y a une ordi sous control / volé / etc…
Ou bien sûre, c’est une simple business car vendre autant d’info peut apporter des millions…data is the new gold…
Mise au point: free n’a pas supprimé l’´accès aux agents en tlt, free a supprimé le tlt tout court.