un pirate revendique le piratage de sites Total Énergies

Un pirate informatique affirme avoir compromis les systèmes de plusieurs fournisseurs d’énergie, dont Total Énergies France et Espagne, ainsi qu’un fournisseur italien. Il proposerait à la vente les données personnelles de centaines de clients sur un forum du dark web.

Un utilisateur d’un forum cybercriminel russe, se présentant sous le pseudonyme Volodia, a publié à la mi-juin une annonce étonnante : pour 9 000 dollars, il met en vente un fichier contenant des données détaillées issues, selon ses dires, des sites Total Énergies France et Espagne. Dans la foulée, il référence une troisième proposition malveillante concernant le fournisseur d’énergie italien WeKiwi.

Dans son message, le pirate défie les entreprises concernées de contester l’authenticité de son piratage. Il affirme ne vouloir vendre les données qu’à cinq acheteurs maximum [pourquoi donc des pirates concurrents se partageraient les mêmes données ?], et propose un dépôt fiduciaire pour garantir la transaction via le forum qui accueille ses annonces malveillantes.

L’annonce est accompagnée d’un échantillon de données exposant les noms, prénoms, numéros de téléphone, adresses postales, identifiants de contrats, ainsi que des détails tarifaires et techniques liés aux abonnements des clients, en particulier ceux du fournisseur ENGIE, également mentionné.

Un lien vers une chaîne Telegram et un canal de discussion sécurisé via qTox [chat passant par Tor] sont fournis pour la prise de contact. Contacté, il semble que les échantillons affichés par ce malveillant soient tirés d’une base de données commerciale. Difficile d’en savoir plus. Difficile de s’assurer de la véracité de ses dires.

Des données sensibles exposées ?

L’échantillon publié inclut une douzaine de profils clients contenant des informations particulièrement détaillées. Chaque ligne affiche les éléments suivants : civilité, nom, prénom, numéro de téléphone, adresse complète, identifiant du point de livraison, puissance souscrite, fournisseur, type de contrat, et détails sur les tarifs (heures pleines, heures creuses, etc.).

Ce type de données, si elles s’avèrent vraies, peut non seulement permettre des campagnes d’hameçonnage ciblé (phishing), mais également être utilisé pour des usurpations d’identité ou des fraudes contractuelles (ex. : changement de fournisseur sans consentement).

Authenticité difficile à vérifier mais inquiétante

À l’heure actuelle, aucun élément ne permet de confirmer ou d’infirmer ce piratage. Le Service Veille de ZATAZ peut cependant confirmer la présence d’au moins une information réelle. Le pirate n’a pas fourni de preuve technique irréfutable (comme une capture de panneau d’administration ou des logs internes comme certains aiment le faire), mais la précision des données visibles soulève des questions sérieuses quant à leur origine.

Ce cas s’inscrit dans une tendance inquiétante de cyberattaques visant les acteurs du secteur énergétique, surtout en cette période géopolitique très trouble, transformant les énergies en une arme politique non négligeable. Avec la numérisation croissante des services, les fournisseurs d’électricité et de gaz deviennent des cibles privilégiées, à la fois pour des motivations économiques et géopolitiques. Je pense, mais je peux me tromper, qu’il paraît peu probable que les enseignes citées aient été visées directement. Peut-être une supply chain bancale ! Ou une désinformation orchestrée par un « pirate » dont les motivations sont de lancer la rumeur sur des cyberattaques ayant visé un grand groupe industriel hexagonal.

Fin 2024, plusieurs groupes de ransomware avaient déjà revendiqué des attaques contre des infrastructures critiques dans plusieurs pays européens. Il y a 10 ans, en janvier 2015, un groupe nommé Linker Squad avait infiltré un espace commercial en ligne de Total, accédant à près de 29 657 comptes clients. Cette intrusion impliquait des injections SQL compromettantes ayant permis l’exfiltration d’informations internes.