Si vous recevez prochainement des courriers électroniques prétendant parler au nom de Shadow, traitez-les avec la plus grande prudence. Il pourrait s’agir d’une tentative d’hameçonnage (phishing) exploitant la compromission de vos données personnelles. En effet, la plateforme vient d’admettre un piratage qui a exposé les informations de sa clientèle.
L’incident, qui s’est produit à la fin septembre, et dont l’existence a été révélée le 11 octobre, est d’une portée incertaine, mais l’un des membres de notre rédaction a reçu un mail d’alerte. La brèche a permis à l’assaillant de récupérer les éléments suivants : son prénom, son nom, son adresse mail, sa date de naissance, son adresse de facturation et la date d’expiration de sa carte bancaire.
Shadow, qui se présente comme le spécialiste du « PC dans le cloud », souligne à l’inverse que ni le mot de passe ni des informations bancaires additionnelles ne sont compromis (on pense au numéro de la CB et au cryptogramme visuel). Autre motif de relative satisfaction : la sécurité a été revue pour éviter la réitération de l’incident avec un renforcement des procédures.
Une attaque « très sophistiquée » via Discord
Le courrier envoyé à Shadow présente également dans les grandes lignes l’origine de l’incident. C’est une opération par ingénierie sociale visant l’un des employés de Shadow qui est le point de départ de la compromission. L’attaque, qui a eu lieu via Discord, a conduit le salarié à télécharger un logiciel malveillant, sous couvert d’un jeu vidéo hébergé sur Steam.
L’attaque s’est avérée très sophistiquée, selon Shadow, car la personne qui a invité l’employé à effectuer ce téléchargement était une connaissance, qui était lui-même victime de la même opération. Bien que l’équipe de sécurité de Shadow soit entrée en action, l’attaque a pu dérober un cookie informatique et exploiter son contenu pour poursuivre son assaut.
Il a ainsi pu se connecter à l’interface de gestion d’un de nos fournisseurs. Il a aussi pu extraire via l’API du prestataire plusieurs informations personnelles, évoquées plus haut. Le cookie fautif a été désactivé depuis, selon Shadow.
Outre une surveillance accrue de son courrier, les internautes sont invités à activer l’authentification à deux facteurs sur leur compte Shadow. Cela limitera la casse si vous transmettez par erreur votre mot de passe, à la suite d’un phishing. En effet, le pirate ne pourra pas accéder à votre profil, du fait de cette double authentification. Il n’y a pas besoin de changer de mot de passe.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
