L'auto-école en ligne Ornikar victime à son tour d'une fuite de données : ce que l'on sait

Et rebelote. Après la vague d’attaques ayant ciblé une série d’entreprises françaises à la rentrée, Ornikar tombe à son tour.

Sacré strike depuis le mois de septembre. D’abord Boulanger, puis Cultura, Truffaut, Bayard, Grosbill, la CNAV, Meilleurtaux, et maintenant Ornikar. Les experts en cybersécurité l’avaient prédit : le scénario serait amené à se reproduire. Il n’aura pas fallu attendre bien longtemps, alors que l’auto-école a confirmé hier avoir été, elle aussi, victime d’une intrusion dans son système d’information. Les données personnelles de millions de clients ont été volées et seraient déjà en vente sur le dark web.

Plus de 4 millions de comptes dispersés aux quatre-vents

Si vous avez passé votre permis avec Ornikar, le coût aura été plus élevé que celui du code et de l’examen. L’entreprise française vient de faire les frais d’une cyberattaque plutôt costaude, alors que des hackers ont réussi à pirater et exfiltrer sa base de données client. Montant du butin : 4,3 millions de comptes dans la nature, selon le hacker éthique Clément Domingo (SaxX sur X.com). Parmi les informations divulguées, des noms, prénoms, adresses mail, numéros de téléphone, dates de naissance et adresses postales. En revanche, d’après l’auto-école, aucunes données bancaires ni aucun mot de passe n’auraient été subtilisés.

Bien évidemment, comme dans toute situation équivalente, les données sont déjà en vente sur le dark web. Dès mardi dernier, un hacker revendiquait l’attaque et affirmait détenir cette base de données privées. D’après l’Usine Digitale, il n’aurait cependant diffusé qu’un échantillon de trois comptes, insuffisant pour prouver l’authenticité de son recel.

Ornikar, de son côté, n’a pas fourni plus d’information concernant les modalités de l’intrusion, mais a confirmé avoir porté plainte auprès de la CNIL et se pencher sur le développement de nouvelles mesures destinées à renforcer la sécurité de ses infrastructures.

Alerte aux tentatives de phishing

Ce n’est pas parce que les données volées ne contiennent pas de mots de passe ni de coordonnées bancaires que les internautes affectés ne risquent rien. La quantité d’informations personnelles divulguées suffit à faire craindre de possibles usurpations d’identité, et laisse présager une recrudescence de tentatives de phishing auprès des utilisateurs et utilisatrices concernés.

En clair, si vous faites partie des victimes collatérales de cette cyberattaque, redoublez de vigilance face aux mails et SMS suspects. Ne cliquez jamais sur des liens ou des pièces jointes en provenance d’expéditeurs inconnus. En cas de doute – chose qui peut arriver lorsque les pirates se font passer pour des instances légitimes, comme on a pu le voir avec le détournement de France Identité –, ne répondez pas directement au message. Connectez-vous à la plateforme officielle depuis votre navigateur ou votre application mobile, et contrôlez la véracité du mail ou du SMS reçu.

Sources : SaxX via X.com, L'Usine Digitale