Afficher Masquer les titres
Engie a fait l’objet d’un piratage massif et les données personnelles de plus de 130 000 clients se retrouvent dans la nature. Cet incident serait l’œuvre d’un hacker qui veut embarrasser l’entreprise du secteur énergétique. Et ce, en raison de l’augmentation du prix du gaz en France. Engie dit avoir déjà porté plainte et corrigé la faille de sécurité ayant permis cette attaque. On vous dit tout.
110 000 données chez Engie publiées
Les hackers n’hésitent plus à s’en prendre aux grands acteurs de l’économie française. Pôle Emploi en a déjà fait les frais après qu’un hacker ait dévoilé les données personnelles de millions d’inscrits.
Récemment, un autre hacker du nom de « HommedeLombre » a pris pour cible le fournisseur d’énergie Engie. À en croire nos confrères de Numerama, ce dernier aurait utilisé la même technique que l’auteur de piratage de Pôle emploi.
En effet, HommedeLombre s’est infiltré dans le réseau d’un prestataire externe afin d’accéder aux documents confidentiels d’Engie. Le 23 août dernier, HommedeLombre a publié en ligne une base de données de l’entreprise avec les données personnelles de plus de 130 000 clients.
L’objectif du hacker était selon lui de montrer que rien n’est jamais sûr, « même dans les cibles les plus importantes ». Le pirate a aussi fait savoir que cette opération était pour répondre à la hausse du prix du gaz dans l’hexagone.
Pour conclure sa publication, l’HommedeLombre a écrit un message étonnant :
« Force aux travailleurs acharnés, et aux patriotes français ! »
Engie victime d’une fuite de données clients, 110 000 personnes sont concernées
➡️ https://t.co/qbJM4xTTKM pic.twitter.com/oJhx4ddEzx— Numerama (@Numerama) August 30, 2023
Les coordonnées bancaires non incluses
À vrai dire, cette attaque n’avait pour objectif que d’embarrasser Engie. Cependant, l’hacktiviste a mis à mal les données de plus de 130 000 clients, selon le site d’alerte Zataz. Est-ce pour s’en excuser qu’il a adressé un message de soutien aux clients ?
Par ailleurs, le pirate a souligné que, par souci d’éthique, il n’a pas inclus les adresses des domiciles des victimes dans la base de données. Engie a d’ailleurs laissé entendre que les coordonnées bancaires n’y étaient pas non plus.
Seuls des noms et prénoms, des adresses mail, des numéros de téléphone et des noms de villes ont été partagés. Une porte-parole de l’entreprise a indiqué qu’Engie a déposé plainte contre le hacker.
« ENGIE porte plainte et, conformément à ses obligations au titre du RGPD, collaborera comme il le fait systématiquement avec les autorités compétentes », a-t-elle déclaré à Numerama.
L’industriel a aussi laissé entendre qu’il va appeler les personnes concernées par ce piratage de masse. Et d’ajouter que :
« Le sujet et le périmètre du système d’information en cause a été mis sous contrôle ».
Plusieurs données accessibles sur le Dark Web
Concrètement, cette fuite provient du sous-domaine Ma Prime Économie d’Énergie du site officiel d’Engie géré par un prestataire externe. Le pirate est parvenu à s’infiltrer dans ce sous-domaine en exploitant une faille dite n-day à l’aide d’un système ou d’un logiciel.
Notons qu’un correctif a déjà été fourni pour cette vulnérabilité. Actuellement, les données personnelles de 138 608 clients enregistrés chez Engie entre 2018 et 2023 sont accessibles sur le Dark Web. Quels pourraient être les conséquences de cette fuite de données ?
En effet, le fait que le pirate n’ait pas publié les adresses et les coordonnées bancaires des clients n’éloigne pas les dangers. Les victimes de cette fuite pourraient faire l’objet de tentatives de phishing ou d’autres formes d’escroqueries.
Si cette base de données tombe entre les mains d’une personne malveillante, celle-ci peut l’exploiter et se faire passer pour Engie. Il va falloir donc que les clients de la multinationale fassent preuve de vigilance.
Les prestataires d’Engie sont des cibles faciles
Cette nouvelle fuite nous amène à nous interroger sur la sécurité de nos informations personnelles. Surtout lorsqu’on les confie à ce genre d’entreprise. En sachant l’importance de ces données, il serait tout à fait légitime que les clients aient des doutes sur la fiabilité de leurs bases de données.
Le fait qu’Engie ait pris le contrôle de ces données est rassurant. Cependant, elle doit prendre des mesures afin que ce genre d’incidents ne se produise plus dans l’avenir. En effet, ce n’est pas demain la veille que les pirates informatiques vont arrêter de s’en prendre à vos données personnelles.
Ils ne cesseront jamais de chercher des failles exploitables à travers ces systèmes. À l’évidence, ce sont les prestataires externes qui apparaissent pour ces derniers comme étant les cibles les plus faciles à atteindre.
