La Poste Mobile et ses clients à poil sur Internet

Victime d'un ransomware, l'entreprise a visiblement laissé fuiter sa base clients

C'est le dernier épisode d'une longue série : un ransomware qui plombe une entreprise, les données exfiltrée sont publiées sur Internet et in fine, ce sont les clients qui sont victimes car leurs données personnelles fuitent. En masse, cette fois, puisque les deux fichiers clients publiés contiennent plus de 900.000 lignes...

Depuis quelques jours, le site du groupe de ransomware LockBit annonce la diffusion de données de l'opérateur de téléphonie et d'accès à Internet La Poste Mobile. L'entreprise avait pris les devants le 8 juillet en fermant son site Internet et en affichant un message pour ses clients : « Les services administratifs et de gestion de La Poste Mobile ont été victimes, ce lundi 4 juillet, d’un virus malveillant de type rançongiciel. Dès que nous avons eu connaissance de cet incident, nous avons pris les mesures de protection nécessaires en suspendant immédiatement les systèmes informatiques concernés. Cette action de protection nous a conduit à fermer momentanément notre site internet et notre espace client. Nous sommes bien évidemment désolés que cela puisse entraîner pendant quelques jours une gêne dans votre relation avec La Poste Mobile. Nos équipes informatiques procèdent actuellement au diagnostic de la situation. Nos premières analyses établissent que nos serveurs essentiels au fonctionnement de votre ligne mobile ont bien été protégés. En revanche, il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés. Certains d’entre eux pourraient contenir des données à caractère personnel. La Poste Mobile invite ses clients à être vigilants, notamment en surveillant toute tentative de phishing et/ou d’usurpation d’identité, et les tiendra bien évidemment informés des enseignements apportés par les expertises en cours. »

La Poste Mobile a peut-être débranché les systèmes informatiques concernés, mais sans doute un peu tard. Avant la publication, La Poste Mobile se montrait prudente et évasive en évoquant la possibilité, éventuelle, que peut-être, on ne sait pas trop, des données personnelles pourraient d'avoir fuité. Quelques unes...

La veille de la publication des données, LockBit a retiré La Poste Mobile de sa liste des sites touchés par leur rançongiciel. Cela pouvait laisser penser que l'entreprise avait effectué un paiement de la rançon demandée. Et puis surprise, ce 11 juillet, quarante minutes avant l'heure prévue de publication, La Poste Mobile est revenue en Une du site des pirates.

LockBit a publié deux fichiers textes. L'un concerne les clients Box (Internet). Il compte 618.350 lignes. Le second, porte sur les "clients" (probablement de téléphonie) et compte 334.462 lignes. On est largement au delà de ce qui était annoncé dans la mise en garde sur la page d'accueil de l'opérateur : « il est possible que des fichiers présents dans des ordinateurs de salariés de La Poste Mobile aient été affectés. Certains d’entre eux pourraient contenir des données à caractère personnel. »

Visiblement, il s'agit d'une extraction d'une base de données de La Poste Mobile

Voici la liste des champs contenus dans ces fichiers texte. On note évidemment les noms, prénoms, adresse, email, téléphone, coordonnées bancaires...

Le premier fichier, OTD_CLIENT.txt contient les champs suivants :

ODCL_FK_VERSION_BASE
ODCL_ID_CLIENT_BSCS
ODCL_ID_CLIENT_FCT
ODCL_CD_CLIENT
ODCL_NM_NIVEAU_HIERARCHIE
ODCL_FK_CLIENT_PARENT
ODCL_ID_CLIENT_PARENT
ODCL_FK_GROUPE_CLIENT
ODCL_CD_GROUPE_CLIENT
ODCL_CD_TYPE_CLIENT
ODCL_FK_FOYER
ODCL_ID_FOYER
ODCL_FK_CIVILITE
ODCL_CD_CIVILITE
ODCL_LB_RAISON_SOCIAL
ODCL_LB_NOM
ODCL_LB_PRENOM
ODCL_NM_RUE
ODCL_LB_RUE
ODCL_LB_COMPLEMENT_ADRESSE_1
ODCL_LB_COMPLEMENT_ADRESSE_2
ODCL_CD_POSTAL
ODCL_LB_VILLE
ODCL_LB_PAYS
ODCL_LB_EMAIL
ODCL_BT_EMAIL_FICTIF
ODCL_LB_TELEPHONE
ODCL_LB_TELEPHONE_2
ODCL_CD_STATUT_CLIENT
ODCL_CD_JJ
ODCL_NM_JJ
ODCL_FK_MODE_PAIEMENT
ODCL_CD_MODE_PAIEMENT
ODCL_LB_PROPRIETAIRE_COMPTE_BANCAIRE
ODCL_DT_SIGNATURE
ODCL_CD_INTERNATIONAL_SWIFT_CODE_BANQUE
ODCL_LB_COMPTE_BANCAIRE
ODCL_CD_BANCAIRE
ODCL_CD_PAYS_BANQUE
ODCL_CD_CLE_BANQUE
ODCL_LB_NOM_BANQUE
ODCL_BT_DOCUMENTATION_COMMERCIAL
ODCL_BT_RESPONSABLE_PAIEMENT
ODCL_BT_PLAN_RELANCE
ODCL_BT_ACCORD_CLIENT_ENVOI_COORDONNEES_LBP
ODCL_BT_E_FACTURE
ODCL_BT_FACTURE_PAPIER_SEUL
ODCL_BT_FACTURE_DETAILLEE
ODCL_CD_RETOUR_STIT
ODCL_LB_COMMENTAIRE
ODCL_NB_SALARIES
ODCL_LB_FAX
ODCL_FK_SITUATION_FAMILIALE
ODCL_ID_SITUATION_FAMILIALE
ODCL_CD_SIREN
ODCL_CD_NAF_APE
ODCL_LB_FORME_JURIDIQUE
ODCL_FK_MOTIF_CHANGEMENT_STATUT
ODCL_LB_MOTIF_CHANGEMENT_STATUT
ODCL_LB_SEXE|ODCL_DT_NAISSANCE
ODCL_LB_DEPARTEMENT_NAISSANCE
ODCL_FK_PLAN_TARIFAIRE
ODCL_CD_PLAN_TARIFAIRE
ODCL_MT_BALANCE_COURANTE_CLIENT_TTC
ODCL_DT_DERN_FACTURATION
ODCL_DT_ENTREE_BSCS|ODCL_FK_BUSINESS_UNIT
ODCL_ID_BUSINESS_UNIT
ODCL_DT_DESACTIVATION
ODCL_NB_LIGNES_ACTIVES
ODCL_NB_FILLEULS|ODCL_BT_PARRAIN
ODCL_BT_DUNNING_FLAG
ODCL_NM_SOLDE_POINTS
ODCL_BT_ECHEC_PAIEMENT
ODCL_BT_PND
ODCL_NB_NUM_CHEQUE
ODCL_CD_INTERBANCAIRE
ODCL_NB_NUM_COMPTE
ODCL_LB_RETOUR_VIAMOBIS
ODCL_ID_CLIENT_INTERNE_NCC
ODCL_BT_DERN_CLIENT
ODCL_DT_EXTRACT|ODCL_DT_INSERT

Le second fichier, OTD_BOX.txt, contient les champs suivants :

ODBO_ID_BOX
ODBO_ID_OFFRE_BOX
ODBO_FK_OFFRE_BOX
ODBO_ID_STATUT_BOX
ODBO_FK_STATUT_BOX
ODBO_ID_PDV|ODBO_FK_CANAL_VENTE
ODBO_ID_CIVILITE|ODBO_LB_COMPTE
ODBO_LB_NOM
ODBO_LB_PRENOM
ODBO_LB_VILLE
ODBO_LB_CP
ODBO_LB_NDI
ODBO_LB_ID_PRX
ODBO_LB_ID_SIEBEL
ODBO_DT_SOUSCRIPTION
ODBO_DT_ACTIVATION
ODBO_DT_RESILIATION
ODBO_ID_STATUT_FACTURATION_SFR
ODBO_ID_STATUT_RELANCE_SFR
ODBO_BT_RELANCE
ODBO_LB_EMAIL
ODBO_LB_NUM_TEL_CONTACT
ODBO_LB_NUM_VOIE
ODBO_LB_RUE
ODBO_LB_ADR_COMPLEMENT1
ODBO_LB_ADR_COMPLEMENT2
ODBO_LB_ADR_COMPLEMENT3
ODBO_CD_TECHNO|ODBO_FK_MARCHE_SFR
ODBO_CD_2P_3P
ODBO_ID_COMMANDE_LPM
ODBO_FK_COMMANDE_SFR
ODBO_ID_PDV_APPORTEUR
ODBO_FK_CANAL_VENTE_APPORTEUR
ODBO_FK_ORIGINE_VENTE
ODBO_BT_VA3|ODBO_DT_NOTIFICATION
ODBO_DT_INSERT
ODBO_DT_DERN_MODIF
ODBO_FK_VERSION_BASE

Bien entendu, toutes les lignes des fichiers ne sont pas valides. Il y a des lignes contenant des champs vides. Bien entendu, tous les champs ne sont pas tous et toujours renseignés. Mais le volume de données personnelles qui a fuité est tout de même massif. A ce stade, c'est quand même un peu un accident industriel.

Pourtant, La Poste Mobile s'engageait sur son site à protéger les données de ses utilisateurs.

Bon, pas de panique, si vous êtes client, vous pouvez toujours envoyer un courrier, par pigeon voyageur, à la Déléguée à la protection des données de l'entreprise qui, subtile et prévoyante, n'avait pas indiqué son nom ou son mail sur le site...

Cette fuite impacte également, par rebond, SFR puisque La Poste Mobile semble revendre des abonnements à la Box de SFR. Le RGPD impose à l'entreprise de notifier personnellement chacun des clients touchés par la fuite de données. Ils devraient donc recevoir un courrier dans les jours qui viennent. Ainsi que de nombreux mails de phishing...