Depuis quelques jours, un mystérieux pirate du nom de Varun faisait trembler plusieurs grandes enseignes françaises. Après avoir affirmé avoir piraté E.Leclerc, il revendiquait une cyberattaque contre Conforama et EDF. Pourtant, toute cette affaire s’est révélée être un gigantesque coup de bluff : aucune de ces entreprises n’a réellement été piratée. Ou preque...
Quand les cybercriminels jouent au poker !
L’affaire a pris de l’ampleur rapidement, plusieurs médias relayant les supposées fuites de données de millions de clients. En effet, Varun prétendait vendre sur le dark web des bases de données comptant 4,5 millions de clients pour E.Leclerc, 9,3 millions de clients pour Conforama et 6,3 millions de clients pour EDF. Des chiffres impressionnants, qui ont alarmé consommateurs et experts en cybersécurité. Pourtant, après vérifications, il s’est avéré que ces informations ne provenaient pas d’une récente attaque, mais d’une vieille fuite de données recyclée.
Rapidement EDF avait d'ailleurs démenti hier une nouvelle attaque, précisant qu'il s'agissait d'un cas de repacking, une pratique courante dans les milieux cybercriminels qui consiste à récupérer des bases de données déjà compromises, à les réorganiser ou les enrichir, puis à les présenter comme le résultat d’une nouvelle attaque. L’objectif est de maximiser leur valeur sur le marché noir en leur donnant une apparence inédite et récente, induisant en erreur les acheteurs et les victimes.
Même les données volées se recyclent
Plutôt qu’un véritable piratage, Varun a simplement récupéré des données issues d’une ancienne cyberattaque visant LDLC en 2024. Outre le recyclage de données, il avait aussi utilisé ces informations avec la technique du credential stuffing : une méthode qui consiste à tester des identifiants volés sur différents services en espérant que des utilisateurs aient réutilisé leurs mots de passe.
Grâce à cela, il a réussi à accéder à quelques comptes, télécharger certaines factures et ainsi produire des échantillons de données, qu’il a ensuite utilisés pour appuyer ses fausses revendications. Un beau coup de bluff et une mise en scène bien rodée.
Une leçon pour les entreprises et les utilisateurs
Cet épisode rappelle l’importance de la vigilance en matière de cybersécurité. Même sans nouvelle attaque, la réutilisation d’anciennes données volées peut suffire à provoquer la panique. Pour éviter ce genre de mésaventure, il est toujours conseillé d'utiliser des mots de passe uniques pour chaque service, d'activer l’authentification à deux facteurs pour sécuriser ses comptes et bien sûr d'être prudent face aux annonces de cyberattaques, qui peuvent parfois être de simples manipulations.
