Domino’s Pizza : des données personnelles des clients français et belges en ligne ?

Domino's Pizza s'était fait pirater au mois de juin et des données personnelles dérobées. Les pirates revendiquant cette attaque avaient alors demandé une rançon de 30 000 euros, faute de quoi les données seraient publiées. Il semblerait qu'ils soient finalement passés à l'acte. 

Domino's Pizza : d'une cyberattaque à une demande de rançon

L'affaire avait fait du bruit mi-juin. Domino's Pizza était victime d'une cyberattaque et avait alors envoyé un email à ses clients français et belge. Des données personnelles comme les noms, prénoms, adresses, numéros de téléphone et emails avaient ainsi été récupérés. Les mots de passe étaient également de la partie, mais ils étaient chiffrés précisait Domino's Pizza. Néanmoins, la société nous avait alors précisé que « les hackers dont nous avons été la cible sont des professionnels aguerris et ont été en mesure de décoder le système de cryptage ». Aucune coordonnée bancaire n’était par contre présente, le site n’acceptant de toute façon pas les paiements en ligne.

Mais l’affaire n’en était pas restée là et les pirates comptaient bien rentabiliser leur butin et ils avaient envoyé une demande de rançon de 30 000 euros. Si la somme n’était pas payée rapidement, les données de 592 000 clients français et de 58 000 belges seraient alors publiées sur Internet. De son côté, Domino’s Pizza avait évidemment porté plainte.

Après plusieurs mois, les données publiées ?

Depuis, c'est le calme plat. Mais nos confrères du Monde indiquent que les fameuses listes auraient finalement été publiées ce dimanche 2 novembre. Le groupe Rex Mundi, qui avait revendiqué l’attaque, les aurait en effet mises en ligne via un compte Twitter, bloqué depuis. En effet, dans un message daté du 2 novembre, le compte indiquait : « de retour d’entre les morts (ou plutôt du purgatoire ont nous sommes allée après que Domino’s Pizza ait obtenu notre bannissement de Twitter ». Le second message était pour donner l'adresse où les 500 000 adresses et emails de clients français de Domino’s Pizza avaient été mis en ligne. Néanmoins, nous avons pu constater que le lien ne fonctionnait plus aujourd'hui.

Mais cela n’arrête pas les pirates qui ont ensuite publié deux autres messages, avec des liens pour télécharger les bases de données du site belge de Domino’s Pizza (également touché par la cyberattaque). Ces derniers fonctionnent toujours et nous avons ainsi pu consulter des données personnelles de respectivement 20 406 et 34 505 personnes, soit un total de près de 55 000. Mais de nombreux doublons existent entre les deux fichiers.

Attention au phishing donc

On y retrouve les noms, prénoms, adresses, téléphones et parfois des indications pour le livreur avec, par exemple « Interphone hors service. Je descendrai qd le livreur et là », « sonnette défectueuse. merci d’appeler sur mon GSM », « deuxième entrée sur le parking », etc. Des mots de passe sont également présents, mais inutilisables en l’état puisqu’il ne s’agit que d’un hash, ce qui est plutôt une bonne nouvelle.

Comme toujours dans une pareille situation, il conviendra d'être extrêmement prudent car le plus grand risque est évidemment le phishing, largement facilité par le fait de disposer de données personnelles très précises. De notre côté, nous avons contacté Domino’s Pizza afin d’avoir de plus amples informations sur cette fuite de données personnelles ainsi que pour savoir où en est son dépôt de plainte. Nous n’avons pas encore eu de réponse pour le moment.