Journal d'investigation en ligne
Dossier
par Antoine Champagne - kitetoa

CAFPI : une attaque gérée de main de maître (ou pas)

Le courtier en prêts immobilier victime d'un ransomware : de très gros dégâts

Impossible d'entrer en contact avec la direction de CAFPI qui refuse de répondre à nos questions sous prétexte que des contre-mesures parfaites ont été menées. Selon l'attachée de presse il s’agit d’une histoire ancienne maîtrisée au mieux par la société. Ce n'est pas tout à fait ce que nous avons découvert.

Une FAQ qui ne règle pas grand chose - Copie d'écran
Vous lisez un article réservé aux abonnés.

Depuis plusieurs semaines, Reflets se penche sur la société CAFPI. Il faut généralement être propriétaire foncier pour connaître ce gros courtier en prêts immobilier qui propose à ses clients de trouver la meilleure offre bancaire pour financer l'achat d'un appartement ou d'une maison. Il se trouve que CAFPI s'est fait attaquer par un groupe de ransomware et que les données piratées se sont retrouvées publiées sur Internet.

Si « la presse spécialisée » a commenté cette attaque, peu de détails ont filtré. Le 24 mai, Damien Bancal expliquait sur le site Zataz que des tonnes de données personnelles avaient fuité et se trouvaient éparpillées dans la nature. De son côté la société se sent très à l'aise et explique qu’elle a parfaitement maîtrisé la situation dans une page de type foire aux questions (FAQ).

Prenez le temps de lire les déclarations de la société reproduites ci-dessous et reprenez ensuite la lecture de l'article pour percevoir la différence entre un discours corporate de communication et la réalité. Vous allez voir, c'est un exercice qui ne peut être entrepris que par des professionnels et même dans ce cas, des accidents sont possibles. La preuve.

Sur la page de la FAQ, on trouve donc ce type de choses :

Malgré le niveau élevé de sécurité de ses systèmes informatiques CAFPI a détecté une cyber-attaque sur une partie de son réseau informatique.

Dès détection de cette attaque, le service informatique de CAFPI s’est immédiatement mobilisé et rapproché d’experts en cyber sécurité afin de limiter l’impact de l’attaque et prendre toute mesure utile. Cette mobilisation immédiate a permis de détecter et de contenir rapidement l’intrusion. La société est, à ce jour, en mesure de poursuivre ses activités de manière normale.

Les investigations menées indiquent que certaines données de nos clients ont été compromises. Certaines d’entre elles ont été mises en ligne. Nos équipes assistées d’un expert en cybersécurité poursuivent leurs investigations. Des informations vous concernant ont ainsi pu échapper à notre contrôle. Cette potentielle atteinte à la confidentialité de vos données concerne les informations transmises dans le cadre de vos échanges avec CAFPI et notamment : Vos documents d’identité et coordonnées de contact (nom, prénom, adresse email) ; Certaines informations transmises à l’occasion d’une demande de financement

Frappés par la légèreté des informations communiquées sur cette page au regard de ce qui a été publié par les pirates, nous avons tenté de joindre la société. Un véritable parcours du combattant ! C'est bien sûr de la cuisine interne propre au métier de journaliste, mais dans ce cas précis il nous semble utile de l'expliquer aux lecteurs.

Tout d'abord, nous avons tenté de joindre le numéro de téléphone fourni sur la page de la FAQ.

On vous écoute (ou pas) - Copie d'écran
On vous écoute (ou pas) - Copie d'écran

Manque de chance, le numéro ne répond pas et nous tombons sur une messagerie vocale.

Qu'à cela ne tienne, nous décidons d'envoyer un mail au délégué à la protection des données (DPO) dont l'adresse est également fournie. Nous tentons une approche en nous présentant comme journalistes et en demandant à être rappelés tout en signalant que le numéro ouvert pour recevoir les appels des victimes est en fait une messagerie. La réponse automatisée vaut son pesant de payload de ransomware :

Le DPO est aux abonnés absents - Copie d'écran
Le DPO est aux abonnés absents - Copie d'écran

Choux blanc.

Un mail à la personne chargée des relations avec la presse chez CAFPI ? Pas de chance, elle est en congé maternité.

L'agence de communication qui gère leurs relations presse peut-être ? Nous envoyons un mail avec tous les échanges précédents en copie et demandons à être mis en relation avec Olivier Lendrevie, le président de CAFPI.

Réponse : Quel est l'objet de votre demande? Êtes-vous journaliste ? À qui voulez vous parler ? Quelles sont vos questions ? Voulez-vous parler au DPO ?

C'est à désespérer. Notre mail spécifiait que nous étions journalistes, que nous souhaitions parler à Olivier Lendrevie, le Président de CAFPI, que le DPO était aux abonnés absents, que la ligne téléphonique était inopérante...

Nous avons donc précisé en retour que tout cela était dans le corps des messages et que Reflets n'enverrait pas de questions à l'avance ni ne ferait relire les réponses avant publication. C'est un peu le principe du journalisme, par opposition à l'idée de transformer le journaliste en rouage d'une opération de communication.

Ce mail a généré un appel téléphonique d'une « personne humaine », employée de l'agence de communication en question, Galivel & Associates. Notre interlocutrice nous explique que cet incident « qui est maintenant ancien et a été géré de main de maître par l'entreprise a déjà été traité par la presse spécialisée. De toutes façons, vous ne pouvez pas parler à Olivier Lendrevie, ce n'est pas lui qui s'exprime sur ce sujet ». Comme c'est déjà ancien, « et que vous ne voulez pas soumettre vos questions, personne ne va vous répondre chez CAFPI ».

Voilà qui est dommage. Parce que nous aurions apprécié communiquer avec CAFPI afin de donner l'occasion à l'entreprise d'aller un peu plus loin que sa FAQ pour rassurer ses clients.

Un peu de cartographie pour commencer... - © Reflets - Maltego
Un peu de cartographie pour commencer... - © Reflets - Maltego

Tentons maintenant d'aller un peu plus loin que la « presse spécialisée » ( comme ici chez Tech&Co le service spécialisé de BFMTV, très en pointe sur toutes les histoires de ransomware, sauf sur celui qui a touché Altice et Patrick Drahi), qui n'a souvent pas fait mieux que de reprendre l'article de Zataz.

Repartons des déclarations de CAFPI sur leur FAQ.

« Malgré le niveau élevé de sécurité de ses systèmes informatiques CAFPI a détecté une cyber-attaque sur une partie de son réseau informatique »

Le niveau n'était sans doute pas assez élevé puisque l'attaque a fonctionné. En outre, cette attaque permet de mettre en lumière des pratiques qui sont tout sauf de bonnes pratiques habituelles en matière de protection des données personnelles. Dans les documents publiés par les pirates, il est aisé de trouver l'adresse d'un drive Google dans lequel CAFPI conservait tous les documents récupérés pour répondre à un contrôle URSAFF. Or, ce drive Google n'était pas protégé. L'ensemble des internautes pouvait ainsi (entre autres découvertes…) accéder à la liste des feuilles de paye de centaines de salariés de CAFPI sur trois ans. Mais aussi aux protocoles transactionnels signés entre CAFPI et ses employés, aux contrats des apprentis. Bref, des tonnes et des tonnes de données personnelles des salariés.

Le drive de CAFPI pour son contrôle URSAFF en accès libre - Copie d'écran
Le drive de CAFPI pour son contrôle URSAFF en accès libre - Copie d'écran

Des centaines de feuilles de paye avec toutes les informations personnelles des salariés stockées sur un drive Google ouvert à tout Internet. Une sécurité informatique menée "de main de maître". - Copie d'écran
Des centaines de feuilles de paye avec toutes les informations personnelles des salariés stockées sur un drive Google ouvert à tout Internet. Une sécurité informatique menée "de main de maître". - Copie d'écran

Enfin, « un niveau élevé de sécurité » impliquerait du chiffrement pour toutes les données confidentielles concernant et les clients, et les salariés. Ou encore, ne pas laisser trainer toute la documentation du service informatique. Elle est désormais disponible sur le site des pirates. On y découvre toute l'architecture technique de CAFPI, y compris physique dans son datacenter. Ou encore, des identifiants et des mots de passe qui, encore une fois, devraient être chiffrés. Tout informaticien qui a deux notions de sécurité informatique sait que l'on ne conserve pas les mots de passe dans un fichier Word... L'entreprise a-t-elle procédé à la modification de tous ses logins et mots de passe ? Mystère. Visiblement, les procédures de base de sécurité ne sont pas respectées. D'autant qu'elle indique ne pas savoir exactement ce qui a fuité, et ce plusieurs semaines après le piratage et la publication des données... Pour un peu on se croirait chez Altice.

Il y a des remparts autour de la maison. Donc tout ce qui est dans la maison est protégé (non...) - Copie d'écran
Il y a des remparts autour de la maison. Donc tout ce qui est dans la maison est protégé (non...) - Copie d'écran

La deuxième déclaration de l'entreprise montre à quel point elle s’appuie sur une stratégie de communication externe visant à minimiser les répercussions de l'attaque :

« Dès détection de cette attaque, le service informatique de CAFPI s’est immédiatement mobilisé et rapproché d’experts en cyber sécurité afin de limiter l’impact de l’attaque et prendre toute mesure utile. Cette mobilisation immédiate a permis de détecter et de contenir rapidement l’intrusion. La société est, à ce jour, en mesure de poursuivre ses activités de manière normale. »

L'intrusion a peut-être été détectée et contenue rapidement dans le monde magique de CAFPI mais on peut tout de même avoir de gros doutes. Les pirates, avant de chiffrer les documents ont extrait des centaines de gigaoctets (plusieurs centaines de milliers de documents), cela ne s'est sans doute pas fait en quelques heures. Quant à dire que l'intrusion a été contenue, on peut se poser la question suivante :

En partant du principe que les documents de la direction informatique avec les logins et mots de passe de services essentiels ont fuité, que la topographie exacte du réseau a fuité, que les données personnelles, les déclarations d'impôts, les mouvements bancaires, les papiers d'identité de clients ont fuité, peut-on raisonnablement écrire que l'intrusion a été « contenue » rapidement ?

Mais c'est la dernière phrase qui montre ce qu'ont en tête les dirigeants de CAFPI car tout ce qui s'est passé semble finalement moins important que : « la société est, à ce jour, en mesure de poursuivre ses activités de manière normale ». Cela en dit long sur la valorisation par l'entreprise des données personnelles de ses clients. Tant que le business peut continuer... Ce genre de soucis premier rejoint les déclarations des négociateurs de La Poste Mobile avec le groupe de ransomware qui avait attaqué l'opérateur : on ne payera pas, même 100.000 euros. Rapporté aux nombre de clients qui ont vu leurs données fuiter sur Internet, cela veut dire (à la louche) que La Poste Mobile ne payera « même pas » 0,29 euro par client pour protéger leurs données.

Échanges entre le négociateur de  La Poste Mobile et le groupe Lockbit - Copie d'écran
Échanges entre le négociateur de La Poste Mobile et le groupe Lockbit - Copie d'écran

Enfin, cette déclaration :

« Les investigations menées indiquent que certaines données de nos clients ont été compromises. Certaines d’entre elles ont été mises en ligne. Nos équipes assistées d’un expert en cybersécurité poursuivent leurs investigations. Des informations vous concernant ont ainsi pu échapper à notre contrôle. Cette potentielle atteinte à la confidentialité de vos données concerne les informations transmises dans le cadre de vos échanges avec CAFPI et notamment : Vos documents d’identité et coordonnées de contact (nom, prénom, adresse email) ; Certaines informations transmises à l’occasion d’une demande de financement  »

Certaines informations...

Prenons l'exemple d'une personne parmi les centaines (milliers ?) de personnes qui sont victimes.

contrat de travail - Copie d'écran
contrat de travail - Copie d'écran

Offre de prêt - Copie d'écran
Offre de prêt - Copie d'écran

Les relevés d'impôts - Copie d'écran
Les relevés d'impôts - Copie d'écran

L'abonnement téléphonique et Internet - Copie d'écran
L'abonnement téléphonique et Internet - Copie d'écran

Permis de conduire - Copie d'écran
Permis de conduire - Copie d'écran

Relevé de compte bancaire - Copie d'écran
Relevé de compte bancaire - Copie d'écran

Cette attaque repérée et contenue très rapidement, parce que soi-disant gérée de main de maître en interne, laisse quand même supposer que de très nombreuses personnes vont être victimes d'usurpation d'identité dans les mois à venir. Et de ça, il serait bon d’en parler clairement…

2 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée