Attaque eBay : le deuxième plus grand vol de données après Adobe

Cloud
ebay-vol-donnees-personnelles

145 millions de membres eBay doivent changer leurs mots de passe après un vol massif de données personnelles. Plusieurs aspects demeurent intrigants.

L’impact du vol de données personnelles des membres eBay a été rehaussé : la compromission concerne finalement une base de 145 millions d’utilisateurs alors que l’on avait retenu initialement un volume de 128 millions. Vue sous un autre angle, cette affaire constituerait la deuxième plus grande évaporation de données persos sur le Web après le cas Adobe remontant à fin 2013 (152 millions de comptes affectés).

Mercredi 21 mai, le groupe Internet pionnier a demandé à tous ses utilisateurs de changer de mots de passe pour éviter une éventuelle exploitation frauduleuse des données clients aspirées (nom, mot de passe, adresse mail, date de naissance, adresse postale, numéro de téléphone).  Mais des points restent à éclaircir sur les circonstances et les conséquences après cette assaut.

Les circonstances imprécises de l’attaque

eBay demeure discret sur la manière dont les pirates se sont infiltrés. Le groupe Internet, présidé par John Donahoe, a juste indiqué qu’il avait été victime d’une attaque entre fin février et début mars. Et qu’il s’agirait d’une intrusion dans une base de données. « Récemment, nous avons découvert une cyberattaque à l’encontre de notre réseau informatique, qui a fragilisé une base de données contenant des mots de passe d’utilisateurs d’eBay », clame eBay.

Quelle méthode employée pour percer la sécurité IT d’eBay? Dans l’espace « questions-réponses » dédié à l’attaque, il est précisé que les assaillant ont happé les comptes d’administration d’une petite proportion de collaborateurs eBay pour s’infiltrer dans le réseau de l’entreprise.

En guise de réaction, Gérome Billois, expert français de la sécurité IT (Solucom, Clusif), se demande pourquoi il existe un tel décalage entre la détection et le signalement grand public. Il faut revoir les procédures d’alerte, considère-t-il par Twitter.

Les risques pour les membres eBay

« Il n’y a pour le moment aucune preuve que des informations bancaires aient été accessibles ou mises en danger ; néanmoins, nous prenons toutes les précautions nécessaires afin de protéger nos utilisateurs », précise eBay dans sa communication. Tout en garantissant que les données des clients n’ont pas été exploitées pour mener des actions frauduleuses.

Cela laisse perplexe un expert comme Mohammed Boumediane, consultant en cyber-sécurité qui a développé un outil de détection de failles de sécurité (HTTPCS). « Evidemment, les 9 millions d’utilisateurs d’eBay en France doivent impérativement modifier leurs mot de passe d’accès (…) Mais, comme eBay a pu détecter cette attaque tardivement, une question légitime s’impose : quel degré de fiabilité peut-on accorder au groupe alors que l’on nous assure que les données sensibles n’ont pas été récupérées par les pirates ? »

Interrogé par ITespresso.fr,  Mohammed Boumediane précise : « Les données dérobées peuvent être utilisées pour la propagation de malware. De même, l’ensemble des données filoutées pourraient servir pour en récupérer d’autres plus subtiles par des opérations de phishing. Sans oublier également que les utilisateurs ont tendance à utiliser le même mot de passe pour plusieurs types de leurs comptes ou simplement ne pas changer leur mot de passe, même si c’est nécessaire dans ce cas. »

Il faudra jeter un coup d’oeil sur les forums underground. Certains participants exposent une partie des présumées données personnelles des membres eBay et se déclarent prêts à les négocier en bitcoins (1453 bitcoins, soit l’équivalent de 750 dollars). Mais rien ne prouve que les interlocuteurs sont crédibles, selon Reuters. Ce qu’eBay confirme de son côté sur TechCrunch : les échantillons présentés sur Internet ne sont pas authentiques.

Quelle suite à donner après l’attaque ?

Les autorités demandent des explications à eBay à propos de cet assaut. Aux Etats-Unis, le Connecticut, la Floride et l’Illinois déclarent qu’ils ont lancé une enquête sur les pratiques de sécurité IT du groupe pionnier de l’Internet (son business historique de vente de produits entre particuliers a été transformé en un modèle de marketplace avec des vendeurs professionnels).

Selon Reuters, Eric Schneiderman, procureur général de l’Etat de New York, a demandé à eBay de fournir des relevés gratuits sur les mouvements de crédit des clients affectés. Une manière de leur montrer qu’il n’y a aucune anomalie détectée sur leurs comptes. De son côté, eBay a confirmé être en contact avec plusieurs autorités de régulation dans le monde à propos de cette brèche de sécurité IT.

Du côté de la police, une enquête du FBI a démarré sur cette affaire.

Peut-il y avoir des liens avec les comptes PayPal ?

En l’état actuel, rien ne lie l’attaque sur les comptes eBay avec PayPal du nom de la plateforme de paiement électronique filiale du groupe Internet. Mais, comme eBay incite ses membres à favoriser le règlement PayPal pour boucler les transactions sur sa plateforme e-commerce, cette passerelle pourrait se révéler problématique. Là aussi, eBay a pris ses précautions en termes de communication.

« La compagnie assure qu’il n’y a pas de preuve d’accès non autorisé ou compromis portant sur les informations personnelles ou financières des utilisateurs de PayPal. Les données de PayPal sont stockés séparément sur un réseau sécurisé et toutes les données financières de PayPal sont chiffrés. »

Si PayPal était impliqué, l’affaire prendrait une toute autre dimension au regard de son influence dans les paiements électronique.

Quiz : Connaissez-vous vraiment eBay ?

Credit photo : Shutterstock.com –  Copyright: Ken Wolter

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur