Les petits ruisseaux font les grandes rivières. Ce proverbe pourrait être la devise de ces internautes devenus spécialistes du vol de comptes fidélité. Comme raconté en début de semaine par Le Télégramme, la revente des euros accumulés sur des cartes de fidélité est un business qui marche sur les marchés sombres du net.
Ainsi, le quotidien régional rapporte l’exemple d’un jeune breton qui a acheté pour seulement 15 euros les 40 euros crédités sur le compte fidélité Carrefour d’une habitante du centre de la France. « J’ai téléchargé l’application de l’enseigne, je me suis connecté avec ses identifiants et j’ai ajouté son profil à mon téléphone », explique le fraudeur, qui a ensuite vidé le compte fidélité en faisant ses courses.
Bourrage d’identifiants
Une fraude qui n’est pas limitée à cette enseigne de grande distribution. Ses concurrents, mais aussi les chaînes de restauration rapide, comme McDonald’s, sont victimes de ce pillage des comptes fidélité. L’escroquerie repose sur le bourrage d’identifiants. A l’aide de combo-listes, ces listes de couples identifiant-mot de passe qui ont déjà fuité, des attaquants tentent de mettre la main sur des accès à des services tiers.
Ce mode opératoire exploite une faiblesse bien humaine, la réutilisation du même mot de passe sur différentes plateformes. Une fois l’accès à des comptes fidélité obtenu grâce à l’identification de couples identifiant-mot de passe valides, ces derniers sont vendus, souvent à prix cassé, sur des shops ou des salons Discord dédiés.
Taux de réussite de 1 %
Pour les auteurs de la fraude, c’est une activité très lucrative. Car même avec un faible pourcentage de couples valides, le résultat peut être significatif. En témoigne par exemple cette affaire, jugée devant le tribunal judiciaire de Paris à la mi-novembre. Comme ZDnet.fr l’a constaté, Sébastien M., un trentenaire francilien, a été poursuivi pour avoir piraté 10 000 comptes fidélité Intermarché.
Selon l’enquête, le mise en cause a testé près d’1,35 million de couples identifiant-mot de passe. Certes, son taux de succès était faible, de l’ordre de 1 %. Mais, avec autant de comptes sous la main, il suffisait que ces derniers abritent en moyenne une poignée d’euros pour que le butin final potentiel soit très élevé pour le pirate, relevait alors l’un des magistrats. Toutefois, en l’absence de l’enseigne de grande distribution au procès, le préjudice réel d’Intermarché et de ses clients est inconnu.
Selon l’enquête, Open Bullet, cette application dédiée aux développeurs web, a été utilisée sur une machine virtuelle pour tester à la volée les couples identifiant-mots de passe. Les enquêteurs spécialisés de la préfecture de Police de Paris ont identifié le pirate grâce à l’une des adresses IP utilisées. Elle renvoyait vers une machine virtuelle exploitée par l’entreprise où travaillait le suspect mis en cause.
Condamnations pénales
« Je n’ai pas essayé d’attaquer Intermarché », s’est défendu le prévenu. Avant d’admettre maladroitement avoir bien tenté de compromettre des comptes Canal+ et des comptes Spotify, mais seulement, pour ce dernier exemple, pour augmenter malicieusement l’audience de ses streams. Son argumentaire n’a pas convaincu les magistrats, qui l’ont condamné pour piratage informatique et recel à quatre mois de prison avec sursis et une amende de 2 000 euros – une peine qualifiée d’avertissement.
Contrairement à ce que peuvent supposer certains détrousseurs de comptes fidélité, ce type de délinquance ne passe pas donc sous les radars de la justice. En mars dernier, dans une affaire similaire, un jeune étudiant en informatique bordelais a également été condamné à une amende de 1 000 euros pour piratage informatique et complicité d’escroquerie.
Mais ces attaques informatiques compliquent singulièrement la vie des entreprises qui mettent en place des comptes fidélité. Outre des messages de prévention à l’intention de leurs clients, elles doivent parfois directement couper l’herbe sous le pied des pirates informatiques en forçant la réinitialisation des mots de passe. Une clé qui a décidément ses limites, en témoignent les réflexions des géants du numérique qui préparent l’abandon du mot de passe au profit de nouveaux dispositifs d’authentification.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));