Connaissez-vous Spliiit (avec 3 « i »)? Créée en mai 2019, cette startup française organise le partage de compte entre inconnus à de nombreux services comme Netflix, Amazon Prime ou encore des VPN. Ce concept surfe sur une zone grise du droit : c’est un risque que les responsables de l’entreprise ont mesuré et qu’ils assument. Quoiqu’il en soit, 2 ans après son lancement, la plateforme a séduit des milliers d’utilisateurs français, mais aussi anglais, italiens ou portugais.

Le 5 juillet, une bonne partie d’entre eux a reçu un email avec un objet alarmiste sur sa boîte email liée à Spliiit : « Votre compte a été suspendu ».

Le message va droit au but :

« Nous avons remarquer que votre carte de paiement a été refusée,

Nous avons donc pris la décision de suspendre temporairement ton compte jusqu’à que tu mettes à jour tes informations

Il vous suffit de cliquer sur le bouton ci-dessous pour mettre à jour tes informations et utiliser pleinement nos services. » (sic)

Image d'erreur

Spliiit a très vite écrit un article pour décortiquer le phishing. // Source : Capture d’écran Numerama

Si votre œil est aiguisé, vous aurez remarqué l’étrange passage du vouvoiement dans l’objet de l’email au tutoiement dans le corps du message, la faute de grammaire dès la première phrase, ou encore la ponctuation imparfaite. Autant de signes que ce pourrait être un phishing, un de ces messages destinés à piéger les destinataires.

De son côté, Anthony a rapidement flairé l’entourloupe. À Cyberguerre, il raconte la chronologie des événements : il a reçu le phishing à 7h29, puis l’a signalé au compte Twitter de l’entreprise à 9h08. « Deux heures plus tard, je recevais un mail d’alerte de Spliiit sur ce cas », précise-t-il. Pour accompagner cette vague d’avertissement, la startup a aussi publié une suite de message de prévention labellisé « IMPORTANT » sur ses réseaux sociaux, et même mis en place un bandeau d’avertissement sur son site, qui renvoie vers le communiqué.

L’histoire aurait pu s’arrêter là : les clients de Spliiit ont reçu un phishing et la startup a réagi de façon exemplaire. Mais elle s’avère plus compliquée : Spliiit a subi un piratage.

Un phishing simple et efficace

Quand on s’y penche de plus près, l’email s’affiche comme venant de Spliiit, plus précisément de l’adresse [email protected], qui correspond au nom de domaine du site officiel de la startup. Cet affichage peut être manipulé, nous sommes donc allés regarder plus loin dans l’en-tête technique de l’email. Étrangement, cette vérification a confirmé que l’email avait bien été envoyé depuis la messagerie de la startup.

Pourtant, nul doute sur le caractère malveillant de l’email. Il renvoie vers « spliiit.me », une copie du site officiel très bien faite. La première page imite la page de connexion et demande donc email et mot de passe. Ensuite, un formulaire « adresse de facturation »  s’affiche et demande nom, prénom, numéro de téléphone, adresse postale et date de naissance. Si le visiteur le remplit, une copie identique du formulaire de paiement de Spliiit apparaît et invite à renseigner les informations de carte bancaire. Pour finir, le visiteur est redirigé sur la vraie page d’authentification, sur spliiit.com.

Image d'erreur

Le phishing est une copie identique de la page de paiement de Spliiit. Mais nous sommes sur spliiit.me, et non spliiit.com. // Source : Capture d’écran Numerama

Bref, le phishing est simple et efficace. Mais sur Twitter, plusieurs utilisateurs moquent les ratés du message de phishing. L’entreprise se joint à eux : « ‘Quand ils font un effort, mais pas trop‘ ». En commentaire, un certain « Slvsher » s’agace : « Vous voulez faire les gamins ? Bah jvais faire le gamin » (sic). Nous l’avons contacté.

« Je voulais juste me faire un peu de sous »

« J’ai juste récupéré la base de données de Spliiit, mais ils ne veulent pas assumer », nous répond sans tergiverser le hacker, sous pseudo. Capture d’écran à l’appui, il nous explique qu’il a récupéré les informations « d’environ 200 000 profils ». Chacun contient a minima adresse email, nom et prénom, d’autres contiennent aussi le numéro de téléphone. Concrètement, Slvsher a récupéré toutes les données personnelles enregistrées dans les espaces privés des utilisateurs.

Le hacker s’amuse de la situation et ponctue ses messages de « mdr » (mort de rire) ou « ptdr » (pété de rire). Avec une décontraction surprenante, il répond à toutes nos questions. Ses motivations ? « Je voulais juste me faire un peu de sous ». Pourquoi viser Spliiit plutôt qu’un autre site ? « J’ai vu une pub de leur site sur TikTok » [l’entreprise a ouvert un compte TikTok le 1er juillet, ndlr]. Attaque-t-il souvent des entreprises ? « J’ai déjà exploité beaucoup d’autres sites pour me faire de l’argent ».

« Moi, c’est les données bancaires qui m’intéressent »

Après avoir récupéré les informations des utilisateurs, le hacker a monté son site de phishing, avec un certain succès. Le domaine « spliiit.me » bien que rapidement signalé par l’entreprise, n’a été mis hors ligne que le 6 juillet, plus de 24 heures après son déploiement. Capture d’écran à l’appui, le pirate nous montre les centaines de formulaires qu’il a récupérés, qui correspondent à une des trois pages du phishing. Il a donc à sa disposition pléthores d’informations personnelles de clients de Spliiit, dont des duos email/mots de passe. Cette paire de données est très recherchée, car elle permet de se connecter à d’autres comptes si les victimes réutilisent leurs mots de passe. Mais Slvsher balaye ce scénario : « les comptes je m’en fous en peu en vrai. Moi, c’est les données bancaires qui m’intéressent ». Et il en a récupéré plusieurs dizaines.

La suite de son plan, il l’a déjà en tête : « je vais lancer un autoshop [un site de vente en ligne facile à monter, ndlr] pour vendre tout ça. » Il espère ainsi récupérer des gains relativement conséquents : « les cartes de crédit, ça se vend facile 15 ou 20 euros, après ça dépend du niveau de la carte (genre gold, classique, etc…), et pour la base de données, ça peut vite chiffrer. »

Comment le pirate s’y est-il pris ?

Slvsher explique à Cyberguerre qu’il a pu lancer son opération grâce à une « misconfiguration du Laravel », l’outil utilisé pour construire l’application web de Spliiit. Contacté sur le sujet, le hacker éthique Adrien Jeanneau a rapidement reconstitué le scénario que l’attaquant aurait pu suivre — que Slvsher nous a confirmé, mais sur lequel l’entreprise ne s’est pas prononcée.

À l’origine, les développeurs de Spliiit auraient fait l’erreur de laisser le mode débug de Laravel activé. « Avec un outil de scan qu’on se procure facilement et gratuitement, on peut détecter si le mode débug est activé », explique le professionnel, habitué à ce genre de raté dans les audits de sécurité qu’il effectue. Si c’est le cas, l’attaquant peut facilement se connecter à l’interface et récupérer tout un lot d’informations sur l’environnement de l’application web.

Dans notre cas, la faille — quelle qu’elle soit — a permis au hacker de mettre la main sur la clé API de Sendinblue, un outil qui permet entre autres d’organiser l’envoi de newsletters. Il l’a d’abord employée pour récupérer les données des clients de la startup (et constituer la base de données), puis il a envoyé son phishing grâce à l’outil à 45 000 utilisateurs et utilisatrices de Spliiit. « Le problème, c’est qu’il a potentiellement récupéré d’autres clés  », s’inquiétait Adrien Jeanneau, le soir de l’incident.

La communication de Spliiit gâchée par les erreurs techniques

L’avantage de l’erreur commise par Spliiit c’est qu’elle est relativement facile à corriger. « Il faut commencer par désactiver le mode débug, puis changer les clés compromises. On peut aussi déployer d’autres mesures comme le filtrage des adresses IP » commence à énumérer l’expert. « Dans ce genre d’incident, la première étape est de mettre son site en maintenance, pour éviter d’écraser des logs [l’historique de connexion, ndlr] par erreur », ajoute-t-il.

Chez Spliiit, l’envie de bien faire a été écrasée par les ratés

Cette mesure basique a été oubliée par les équipes de Spliiit, mais elle ne semblait pas leur avoir porté préjudice. L’après-midi du 6 juillet, tout semblait revenu à la norme, même si l’enquête interne n’était pas encore terminée, comme nous le signalait l’entreprise jointe au téléphone. Ce point a surpris Adrien Jeanneau, qui estime que la résolution d’un tel incident aurait dû prendre bien moins de temps.

Contacté par Cyberguerre le même jour en soirée, le CEO de l’entreprise Jonathan Lalinec a répondu très rapidement. La startup avait déjà déclaré l’incident à la Cnil — comme c’est prévu dans le RGPD — et déposé plainte. Elle se réunissait pour une nouvelle réunion de crise le soir même.

Puisque le hacker a employé l’outil de Spliiit pour envoyer le phishing, l’équipe de la startup a pu identifier les personnes qui ont cliqué le lien (et donc potentiellement donné leur mot de passe ou leurs informations bancaires). « Nous avons envoyé un SMS et un mail à chaque utilisateur concerné afin de les accompagner sur la démarche à suivre », nous a précisé par email Jonathan Lalinec, le 7 juillet au matin, 2 jours après l’incident. Passée son erreur technique — que bien d’autres organisations ont fait et feront –, Spliiit a tout fait pour avoir une attitude exemplaire dans sa communication. De quoi avoir une fin heureuse à cet incident ? Toujours pas.

« Ça me fait de la peine »

Alors que tout semblait rentré dans l’ordre, le pirate Slvsher a de nouveau frappé le lendemain de son premier coup d’éclat. Il d’abord envoyé un SMS étrange aux utilisateurs de Spliiit — qui ne contenait cependant pas de lien frauduleux — grâce à une autre API dont il avait obtenu la clé. Puis, dans un second temps, il a modifié le bandeau de prévention au phishing affiché sur le site. Au lieu de renvoyer sur le communiqué, le lien renvoyait vers un second site de phishing monté par Slvsher, « spliiit.net ».

Cette fois, la startup a bloqué l’accès à son site, le temps de réparer le problème. Mais cette série de nouveaux incidents marquent un échec : les équipes ne sont pas parvenues à exclure Slvsher de leur environnement. « Ils n’ont même pas mis les logs Laravel pour surveiller le trafic et ils n’ont changé que les clés pour Sendinblue et Smsmode », explique le hacker à Cyberguerre, sans s’étaler sur les accès dont il dispose toujours.

Alors que les clients de Spliiit avaient apprécié la réactivité de la startup au départ, la succession des incidents commence à les agacer. De son côté, Slvsher finit par nous afficher un autre ton, comme s’il regrettait sa seconde vague d’attaques : « J’ai pas envie qu’ils ferment non plus, je voulais juste faire des sous moi. Ça me fait de la peine en vrai, j’ai envie de les aider pour la sécurité maintenant. »

Spliiit, de son côté, a envoyé aux utilisateurs un déroulé complet des événements le 7 juillet au soir. La startup explique que les données des utilisateurs ont fuité et donne de bons conseils sur les mesures à adopter.

Si les textes de loi peuvent contraindre à la communication aux victimes de la fuite, ils ne s’appliquent pas à ce cas, puisque les données de la fuite ne sont pas suffisamment sensibles. Spliiit l’a donc fait par transparence : une fois de plus, elle s’est livré à un exercice de communication exemplaire (et rare). Malheureusement, comme bon nombre de petites entreprises, ses mesures de sécurité n’étaient pas au niveau.

Utilisateur de Spliiit ? Voici comment réagir

  • Vous n’avez pas interagi avec le phishing, ou vous avez juste cliqué sur le lien 

Les données de votre espace personnel sont compromises… et vous ne pouvez pas y faire grand-chose. Redoublez de vigilance sur les emails ou appels suspects que vous pourriez recevoir dans les jours à venir.

  • Vous avez entré vos identifiants dans le phishing 

Changez au plus vite votre mot de passe sur Spliiit et partout où vous utilisez ce même mot de passe si c’est le cas. Cette mesure de prévention vous évitera de vous faire voler ces comptes.

  • Vous avez entré vos informations de carte bancaire 

Faites opposition au plus vite sur votre carte bancaire. La quasi-intégralité des banques disposent d’une ligne téléphonique joignable 24h/24 et la déclaration de perte vous prendra à peine quelques minutes. Si vous voyez des transactions étranges sur votre compte bancaire, déclarez-les immédiatement sur Perceval, la plateforme de signalement à la fraude bancaire.

Vous éviterez ainsi le risque de perdre plusieurs centaines d’euros.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !