Passer au contenu

Qui est Near2tlg, le gang de pirates qui multiplie les cyberattaques en France ?

Un gang baptisé Near2tlg s’est illustré par une série d’attaques d’envergure contre des entreprises et des institutions en France. Les cybercriminels dénoncent la négligence des entreprises vis-à-vis de la sécurité de leurs utilisateurs… tout en monétisant les données volées sur des forums criminels.

Ces dernières semaines, un nouveau gang de cybercriminels est apparu en France. Baptisé Near2tlg, le groupuscule d’origine française s’est attaqué à plusieurs entités d’envergure, à commencer par un hôpital de la région de Paris. En se servant d’un compte compromis du logiciel de gestion Mediboard, le gang a volé les dossiers médicaux de 750 000 Français. Xtrem Santé, éditeur de Mediboard et filiale de Softway Medical, a confirmé qu’un compte à privilèges appartenant à l’un de ses clients a été compromis au cours d’une usurpation d’identité.

Par la suite, les cybercriminels ont orchestré des attaques analogues sur la filiale d’Axa Direct Assurance, plusieurs PME situées en France et sur le média Le Point. La cyberattaque, confirmée par le média, a abouti à la disparition des informations personnelles de 900 000 lecteurs, actuels et anciens.

De plus en plus actif, le groupe a aussi revendiqué le vol des données de plus de trois millions d’abonnés SFR, et de dossiers confidentiels appartenant à la Banque de France. Ces vols ont été démentis par les deux victimes, mais les pirates maintiennent avoir mis la main sur des données exclusives.

Dans tous les cas, les données ont été mises en vente sur BreachForums, un forum criminel devenu la plaque tournante des informations compromises au cours des derniers mois. Pour appâter une foule d’acheteurs, les hackers de Near2tlg ont pris l’habitude de proposer leurs données à la vente à des prix contenus. Par exemple, le répertoire SFR était vendu pour seulement 500 euros. C’est une stratégie permettant de gonfler le prix par la suite, et d’écouler plusieurs copies de la base de données.

« Le prix annoncé par le vendeur était bien entendu très bas mais ce n’était qu’un prix d’appel au regard des prix pratiqués habituellement. En effet, une étude de NordVPN a montré qu’en moyenne un ensemble complet d’informations personnelles sur un utilisateur français se vendait à 55 euros sur le dark web. Si plusieurs acheteurs se positionnaient sur l’achat de cette base de données clients de SFR, le vendeur aurait pu augmenter ce prix de 500 euros sans aucun doute », nous explique Marijus Briedis, chef de la technologie de NordVPN.

À lire aussi : Cyberattaques en France – les dernières fuites de données et entreprises touchées

Near2tlg, un nouveau collectif d’hacktivistes ?

Alors que tous les projecteurs se braquaient sur lui, le gang s’est fendu d’un communiqué sur BreachForums. Le groupuscule se présente comme « une organisation collective » qui est parvenue à « infiltrer plusieurs systèmes informatiques et obtenu l’accès à un grand nombre de bases de données sensibles, y compris celles de grandes entreprises ». Dans son message, le gang, « récemment formé », se vante d’avoir « démontré sa capacité à exploiter les vulnérabilités des infrastructures numériques de manière efficace ».

En miroir des hackers de Free, les pirates de Near2tlg affirment avoir pris la peine de « signaler les failles de sécurité que nous avons découvertes sur les sites concernés ». Avant de passer à l’offensive, le collectif aurait prévenu toutes ses victimes des vulnérabilités présentes dans leur système. En vain.

« Au lieu de prendre nos alertes au sérieux et de corriger ces vulnérabilités, ces entreprises ont choisi d’ignorer la sécurité de leurs utilisateurs, en privilégiant leurs profits, malgré des revenus dépassant des milliards », déclare Near2tlg sur BreachForums.

Selon eux, c’est en réaction au mutisme des entreprises, qui ont choisi de ne pas réagir, exposant « les utilisateurs à des risques significatifs en matière de protection des données », que les attaques ont été orchestrées. Sur le papier, le collectif se décrit comme des hacktivistes. Contrairement aux autres cybercriminels, les hacktivistes s’engagent dans des opérations visant à défendre des idéologies ou dénoncer des injustices. Pourtant, ils n’hésitent pas à monétiser les données en leur possession.

Enfin, les piratent assurent que leurs pays d’origine « soutiennent » leur démarche. Les hackers laissent entendre qu’ils proviennent d’en dehors de la France, sans nommer leurs nations d’origine.

Un vent de discorde chez Near2tlg

Quelques jours après le coup d’envoi des attaques, et la revendication d’une intrusion chez SFR, le canal Telegram de Near2tlg a connu un coup de théâtre. Un des pirates du collectif a pris la parole pour mettre en garde les prochaines victimes de Near2tlg et tenter de « racheter » ses fautes :

« En divulguant ces informations et en empêchant un hack majeur de toutes les entreprises mentionnées, je pense que cela me lave de mes actions passées. Considérez ceci comme un avertissement avant de potentielles attaques futures ». 

Selon lui, les cyberattaques du collectif reposent sur des failles critiques ainsi que sur des complices. Apparemment, certaines intrusions ont été facilitées par des sources internes… Parmi les autres entités dans le viseur du gang, on trouve La Poste Mobile, Meta, TikTok, et la Gendarmerie nationale. Il ne parle plus de la SNCF, pourtant désignée comme la prochaine cible du groupe en amont. Pour prouver ses dires, le pirate a publié des captures d’écran « des accès dans des systèmes de gestion d’utilisateurs », mais certaines des « captures d’écran sont très douteuses », estime le chercheur Clément Domingo.

En prévenant les entreprises, le hacker, dont il est impossible de vérifier les assertions, espère « négocier la fin de toutes les enquêtes en cours » à son sujet. Il précise que « toutes les informations que je fournis ici doivent être récompensées par une clémence totale de la justice envers moi et mon collectif ». Dans la foulée, il prend le temps de divulguer le véritable nom d’un de ses compères… Plusieurs comptes Telegram liés au groupe ont été suspendus peu après.

Depuis la parution de ce message sur Telegram, les annonces publiées par Near2tlg sur BreachForums ont aussi disparu. C’est également le cas de sa déclaration d’intention. À l’heure où nous écrivons ces lignes, seule l’annonce concernant les données de Direct Assurance est toujours en ligne. On ignore la raison derrière ces suppressions.

Par contre, les répertoires mis en ligne par le gang, dont la base de données SFR, sont massivement partagées par d’autres cybercriminels. Sur le marché noir, on a trouvé une myriade de nouveaux partages et de compilations des données… laissant planer de lourdes menaces sur les internautes en France.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.