Il y a quelques jours, Domino's Pizza était victime d'une cyberattaque entraînant une fuite de données personnelles. Contactée par nos soins, la société a répondu à nos questions concernant le chiffrement des mots de passe de ses clients. Elle nous confirme aussi avoir été la cible d'une demande de rançon de la part d'un groupe de pirates.
Vendredi dernier, Domino's Pizza informait ses clients qu'une faille de sécurité avait été identifiée et colmatée. Néanmoins, « cet accès illégitime a potentiellement entraîné la récupération d’un nombre limité de données vous concernant ». Cela concernait le nom, le prénom, l'adresse, l'email ainsi que le mot de passe.
Les mots de passe étaient chiffrés, mais les pirates étaient « aguerris »
Nous avions alors demandé un complément d'explications à la société sur ce dernier point, notamment en ce qui concerne le chiffrement des données : « Domino’s Pizza utilise un système de cryptage des données commerciales. Toutefois, les hackers dont nous avons été la cible sont des professionnels aguerris et ont été en mesure de décoder le système de cryptage. De fait, suite à la cyberattaque, nous avons immédiatement mandaté des experts pour auditer notre système de cryptage des données et identifier la faille qui pourrait avoir permis à des hackers de le décoder. Une faille potentielle a été identifiée et sécurisée ». nous répondait-on alors.
Les mots de passe étaient donc bien chiffrés, mais cela n'a pas été suffisant pour les protéger de l'attaque des pirates, ce qui semble indiquer une faiblesse dans la procédure utilisée. De plus, on regrettera que la société ne se contente pas d'enregistrer le hash avec une composante aléatoire de ces derniers, ce qui aurait pu éviter ce genre de déboires comme nous l'avons déjà plusieurs fois expliqué, notamment dans ce précédent article.
Une demande de rançon a bien été envoyée à Domino's Pizza...
Nous avons ensuite pu nous entretenir avec un porte-parole de la société sur un nouveau volet de cette sombre affaire : le chantage. Nous avons ainsi pu avoir la confirmation qu'une demande de rançon avait été envoyée à Domino's Pizza. Faute de payer 30 000 euros, un groupe de pirates répondant au nom de Rex Mundi explique qu'il publiera les coordonnées de pas moins de 592 000 comptes clients. À titre d'avertissement, trois exemples étaient mis en ligne, avant d'être finalement retirés :
Les données personnelles des trois comptes touchés ont volontairement été effacées par nos soins
Sur ce dernier point par contre, la société refuse de confirmer ou d'informer qu'il s'agit bien de comptes de ses clients, nous ne saurons donc pas si la base détenue provient effectivement de chez Domino's Pizza. On nous précise néanmoins que la faille a bel et bien été bouchée, contrairement à ce qui est annoncé par les pirates. Quoi qu'il en soit, Domino's Pizza indique qu'il n'est pas question de céder à cette demande de rançon et n'« entrera pas non plus dans ce jeu ».
Hier soir, elle s'est également fendue d'un communiqué de presse afin de réaffirmer sa position : « Domino’s Pizza France, qui collabore étroitement avec les autorités compétentes, est plus que jamais déterminée à ne pas répondre au chantage de quelque organisation criminelle que ce soit ». Une plainte a évidemment été déposée.
...comme c'était le cas pour Feedly la semaine dernière
Cette histoire n'est pas sans rappeler le cas de Feedly qui a été victime d'un maître chanteur pas plus tard que la semaine dernière. Là encore, le service a refusé de payer la somme demandée, ce qui lui a d'ailleurs valu pas moins de trois attaques DDoS en l'espace de quelques jours. Depuis, les choses semblent s'être calmées, reste à voir si cela sera le cas dans la durée.
Pour rappel, le chantage aux attaques DDoS contre une rançon en bitcoins est en pleine expansion outre-Atlantique. Avec les failles de sécurité et autres fuites de données qui sont de plus en plus fréquentes ces derniers temps, ce genre de demande pourrait bien se développer encore un peu plus.
