Le site web de l'entreprise française de vente d'équipements et de vêtements de sport annonce avoir subi une cyberattaque le 19 avril 2024. Les données personnelles de plus de 4 millions de clients seraient déjà en vente sur le dark web. Les soupçons planent sur le groupe francophone Epsilon.
Si le sport est bon pour la santé, on ne peut pas dire qu'il en soit de même pour les données. C'est seulement 15 jours après le piratage avec vol de données d'Intersport que Sport 2000, un des spécialistes français de la vente d'équipements et de vêtements de sport, annonce sur son site web avoir subi une cyberattaque.
Pour l'heure, aucune revendication officielle n'a été publiée, mais de forts soupçons se dirigent vers le groupe Epsilon, dont les derniers hauts faits de cyberpiratages ne sont autres que les comptes X.com de BFMTV et LDLC. Toujours est-il que plus de 4 millions de clients sont susceptibles de voir leurs données vendues sur le dark web.
Plus de 4 millions de comptes clients et de données extraites avec un infostealer
Sur X.com, la plateforme spécialisée dans les renseignements sur les menaces a publié un message du hacker. « Bonjour, aujourd'hui j'ai extrait toutes les données clients du magasin français SPORT2000. Je vends l'ensemble des données clients », peut-on lire dans l'extrait visible. Au total, ce ne sont pas moins de 4 376 038 clients du réseau français de Sport 2000 que le pirate dit avoir en sa possession et avoir mis en vente.
Sur son site Zataz, Damien Bancal indique que ces données ont été obtenues par une campagne d'infostealer, un phénomène qui prend, selon Kaspersky, de l'ampleur et pourrait même prendre la tête des méthodes privilégiées par les cybercriminels.
En clair, un infostealer est un malware qui agit à l'insu de sa victime. Il lui vole purement et simplement toutes ses données personnelles en agissant comme un scanner. Il est introduit dans la machine d'un utilisateur par le biais d'un e-mail frauduleux, des réseaux de partage de fichiers, ou encore un téléchargement hasardeux sur un site malveillant. Dans certains cas, il peut également agir en temps réel en capturant les données au moment où l'utilisateur les saisit sur son clavier, par la méthode d'enregistrement de la frappe, le keylogging.
C'est la raison pour laquelle sur son site web, Sport 2000 déclare non seulement être au courant de la cyberattaque, mais communique également une liste du type de données qui ont été volées aux utilisateurs. Cette liste extrêmement détaillée comprend, en dehors des informations courantes comme les coordonnées postales et civiles, leurs préférences de partage de données, et, moins usuel, des informations plus statistiques telles que la « segmentation réalisée à partir des informations que [nous détenons] sur la date, la fréquence et le montant de vos achats chez Sport 2000 », ou bien la « segmentation réalisée à partir de la typologie de vos achats, par exemple "famille", "loisir", chez Sport 2000 ».
Le gang francophone Epsilon soupçonné d'être derrière la cyberattaque
D'après ses recherches, Damien Bancal indique que le groupe de cyberpirates francophone Epsilon est à l'origine de cette attaque. Et le moins que l'on puisse dire, c'est que ce gang a frappé fort en un temps record. Fondé par un duo se faisant appeler ChatNoir et Casquette, le groupe Epsilon a fait ses classes en octobre 2023 en piratant Shadow, le service français de cloud gaming, pour revendre les données des gamers. Et pour remplir davantage les caisses, Epsilon s'en est ensuite pris à celles des clients de LDLC, qu'ils a également revendues, après un échec des négociations avec l'enseigne informatique.
Mais si la motivation du groupe est financière, l'argent n'est pas son seul moteur. Dans un entretien pour le journal Le Parisien, l'un des deux pères fondateurs d'Epsilon explique qu'ils n'ont « [….] pas vraiment de but. De base on fait ça pour la fame (se faire connaître) et on aime bien taper sur tout ce qu'on trouve ».
Il admet également que le piratage du compte X.com de BFMTV n'avait pas d'autre but que la notoriété. « Avec BFM, on a voulu faire de la pub pour notre compte X et pour Epsilon », se justifie-t-il.
De son côté, Sport 2000 a effectué les formalités d'usage, à savoir déposer une plainte auprès des autorités compétentes et faire un signalement auprès du gendarme de la sécurité, la CNIL, qui croule sous les notifications après une année 2023 marquée par 90 millions d'amendes. Si vous êtes client de Sport 2000, le site indique que vous pouvez contacter le service client à cette adresse : https://www.sport2000.fr/contact/.
01 décembre 2023 à 13h11
Sources : Zataz, Sport 2000, Le Parisien
