Le 7 novembre 2024, une fuite de données impliquant le casino 1Win a exposé les informations personnelles de millions d’utilisateurs. Trois mois plus tard, ZATAZ découvre des dizaines de petites bases de données. Des pirates ont fait le tri. Des milliers de Français concernés.
La sécurité des données personnelles est une préoccupation grandissante dans le secteur des jeux d’argent en ligne, une industrie pesant plus de 300 milliards de dollars. Récemment, 1Win, une plateforme internationale de paris, a été victime d’une fuite massive de données. Près de 450 millions de lignes contenant noms, numéros de téléphone et adresses e-mail des clients ont été exposées, suscitant des inquiétudes quant à la protection des utilisateurs. Ce scandale soulève également des questions sur les risques associés à l’utilisation de plateformes non réglementées dans des pays comme la France, où la législation sur les jeux en ligne est stricte.
Une attaque d’envergure
Le 7 novembre 2024, plusieurs chaînes Telegram et médias ont rapporté une fuite colossale de données personnelles issue de la plateforme de paris 1Win. Selon ces sources, un utilisateur identifié comme « fe0dor » a publié la base de données compromise sur le forum exploit.in. Le post de l’époque a depuis été effacé. Les fichiers, compressés au format .rar, contenaient plusieurs tables SQL regroupant les données sensibles des clients de 1Win.
Parmi les fichiers dévoilés figuraient users.sql, contenant les noms, prénoms et numéros de téléphone ; ma_users.sql, regroupant des informations similaires et Partner_keys.sql, il contenait des clés et des accès spécifiques des partenaires du casino et des clients passant par ces biais.
Le pirate a révélé qu’il détenait d’autres tables sensibles, telles que ma_deposits.sql et ma_withdraws.sql, sans toutefois les publier. Une fuite qui met en lumière plusieurs élèments. D’abord, les lacunes de sécurité de la plateforme, qui revendique pourtant une présence dans plus de 50 pays et une communauté mondiale de 10 millions de joueurs. Ensuite, le fait que des centaines de milliers d’internautes utilisent un casino illégal dans de nombreux pays.
Une tentative de chantage à grande échelle
Selon les déclarations officielles de 1Win sur Telegram, les attaquants ont initialement demandé un million de dollars pour ne pas divulguer la base de données. Cependant, au fil des négociations, cette somme a grimpé à 15 millions de dollars. Malgré ces pressions, une partie des données a été rendue publique, exerçant une pression supplémentaire sur l’équipe de 1Win. « Les maîtres chanteurs ont décidé de divulguer une partie de la base de données pour soutirer plus d’argent« , a déclaré le représentant de 1Win.
Outre le préjudice immédiat pour les utilisateurs, cette fuite illustre les risques encourus par les joueurs lorsqu’ils utilisent des plateformes non réglementées, notamment celles dotées de licences émises par des juridictions moins strictes, comme Curaçao. Le casino est enregistré dans ce pays.
Trois mois après l’alerte initiale de 1Win, ZATAZ révèle qu’en ce mois de janvier 2025, un pirate diffuse de petites bases de données issues d’un tri apparent des informations d’origine. Parmi celles-ci, une base baptisée 1WinFr contenant les données de plus de 75 000 client.e.s en France a été identifiée. Des bases similaires ont été retrouvées pour la Belgique, la Suisse, ainsi que pour 24 utilisateurs du Québec exploitant une adresse en qc.ca. Ce nouveau développement montre que les conséquences de la fuite initiale continuent de se manifester, compromettant toujours davantage les utilisateurs.
La réglementation en France : un cadre sécurisé
En France, la législation en matière de jeux d’argent en ligne est stricte. Depuis la loi du 12 mai 2010, seuls les paris sportifs, les paris hippiques et le poker sont autorisés en ligne. Les jeux de casino traditionnels, tels que la roulette ou les machines à sous, restent interdits. Cette réglementation est supervisée par l’Autorité Nationale des Jeux (ANJ), qui garantit la protection des joueurs et veille au respect des normes légales. 1Win, détenant une licence émise par Curaçao, n’est pas autorisée à opérer en France. Bilan, jouer sur des plateformes non agréées présente des risques importants.
D’abord pour la protection des données personnelles. Les sites non réglementés ne respectent pas toujours les standards de sécurité et la les joueurs n’ont plus que leurs yeux pour pleurer à la suite de cette fuite de données personnelles. Ensuite, les risques liés à la sécurité financière. Les garanties en cas de litige sont souvent inexistantes ; Enfin, les recours limités voir inexistants. Les joueurs ne peuvent pas bénéficier de la protection juridique offerte par les sites agréés.
Cet épisode rappelle que l’exploitation des données compromises peut avoir des conséquences graves pour les utilisateurs, notamment en termes de fraude ou de vol d’identité. L’ANJ publie régulièrement une liste des opérateurs agréés sur son site officiel. Cette transparence permet aux joueurs de s’assurer qu’ils utilisent des plateformes conformes à la législation française.
Pour ne rien manquer des actualités les plus importantes dans le domaine de la cybersécurité et être aux premières loges des derniers rebondissements, abonnez-vous gratuitement à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
