Imaginez la tête du Maire et de son Directeur des Services par phreaking : « Monsieur le DGS, nous avons une facture de 80000 euros, nos budgets étant pléthorique et la baisse des dotations de l’état n’étant plus qu’un lointain souvenir, nous allons payer sans problème !« . La mairie de Saint-Malo vient de découvrir les joies du piratage téléphonique, le phreaking.
Un malveillant, via son PABX, bref son standard, a trouvé le moyen d’orchestrer des appels sur le compte de la commune bretonne. C’est le montant faramineux de la perte d’argent qui a obligé le Maire à en informer les élus leur du conseil municipal. Le piratage a eu lieu en mai 2016, durant quatre jours. L’édile et son sbire, le DGS, avaient gardé la chose secrète. Les administrés apprécieront !
Les phreakers, les pirates spécialisés dans la téléphonie, ont permis à des « boutiques » et des « clients » d’appeler en Afrique et en Amérique du Sud. Pour cela, le pirate a d’abord mis la main sur le standard, puis revendu des accès à ce dernier. Pour la prise en main d’un standard, pas bien compliqué. Il suffit souvent de quelques manipulations de touches, comme le dièse, pour arriver dans l’administration d’un standard non sécurisé.
Rencontrer LA légende du HACK et du Phreaking … lors du confessionnal @Protocole_ZATAZ #ndh2k15 @hackerzvoice pic.twitter.com/jLplDLSRZt
— ZATAZ (@zataz) June 20, 2015

La mairie a tout simplement oublié de changer le mot de passe usine, ou ne connaissait pas le mode d’emploi de son matériel.
Dans les appels d’offre, il serait bon de mettre aussi des formations à la sécurité informatique et à l’utilisation des matériels numériques mis en place. « C’est une charge que nous n’avions évidemment pas prévue, à laquelle nous allons pouvoir faire face. Exprime le 1er adjoint de Saint-Malo à l’antenne de France Bleue. Nous allons voir ce que les assurances peuvent produire comme aide, le dossier est loin d’être clos« .
Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients. Oublier de leur expliquer comment changer le mot de passe usine du standard ou oublier de mettre en place les patchs de sécurité deviennent une faute.
Un arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre a condamné un de ses intégrateurs pour faute par négligence. Le tribunal a obligé la société de maintenance à payer la somme volée, soit plus de 12000€ : « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder« .
En France, il se compte sur les doigts d’une main les entités territoriales avouant ce type de piratage : 5000€ pour la MJC de Nancy, 15000€ par les communes de Pessac et de Licques, 43000 pour le conseil départemental des Deux-Sèvres. Et je ne vous parle pas des standards piégés qui renvoient les administrés sur le bon service, mais le pirate s’est arrangé pour que l’appel passe par un espace surtaxé [Cas vécu par votre serviteur].
Ce qui est étonnant, c’est que l’opérateur n’est pas bloqué les appels lorsque les consommations ont commencée à exploser.
Pour avoir subi ce type d’attaque, mon opérateur avait bloqué les appels internationaux lorsque les sondes ont remarqué des anomalies (appel vers Cuba durant le weekend).
Il a fallut que je prouve la sécurisation de mon standard pour réactiver l’option.
J’avais également porté plainte pour vol d’unité téléphonique, mais le préjudice était mince, 800€, cela à était classé sans suite.





Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.
Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
P
age officielle Damien Bancal
Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole ZATAZ (2022) : 80 321
Taux de correction (100 derniers cas) : 95 %
Alerter
anonymement.
Espaces pirates sous surveillance: 397 026 Alertes envoyées au 01/11/2022 : 14 796 Fuites constatées en 2022 : + 22 milliards Service veille ZATAZ : veillezataz.com

source

Catégorisé:

Étiqueté dans :

, ,