Alerte cyberattaque BPCE (Caisse d’Épargne, Banque Pop) : Que faire en attendant des confirmations ? [résolu]

Bonjour à tous,

J’ai vu un message sur X hier soir qui alerte sur une possible cyberattaque visant les banques du groupe BPCE (Caisse d’Épargne, Banque Populaire, etc.), avec des cookies de connexion qui auraient été volés à cause d’un piratage. Une cellule de crise serait en cours, mais il n’y a encore aucune confirmation officielle de ma banque la Caisse d’Épargne. Cela me préoccupe du coup, surtout après l’attaque sur Harvest en mars (je l'ai appris en faisant justement des recherches sur celle-là) qui avait déjà touché des données de clients BPCE. 'ai aussi lu que le vol de cookies est une technique vraie donc ça semble plausible.

Est-ce que quelqu’un a reçu un message de sa banque ?
Faut-il éviter de se connecter en ligne pour l’instant ?
Avez-vous des conseils ou des sources fiables à partager ?

Merci d’avance pour vos retours, ça m’aiderait à y voir plus clair !

Claude, un lecteur assidu de votre site.

PS : Le lien du message sur X : https://x.com/MartinSeys/status/197928 ... 7-BgO1EQ5zXNHGAPPnVQ&s=19

Oui, l'alerte semble effectivement récente. Le post de Martin Seys sur X, daté d'hier soir, indique une urgence avec la mention d'une cellule de crise en cours pour les banques du groupe BPCE. Cela correspond à moins de 12 heures depuis le moment où nous parlons.

Pour avoir crié au loup il n'y a pas si longtemps que cela avec l'ANTS (voir: L’ANTS piratée : 12 millions de données françaises en vente à prix cassé ?), en fait, c'était SaXx qui faisait le Pierre et non TSO, il est important de noter que cette information n'a pas encore été officiellement confirmée par BPCE ou par des sources fiables comme CERT-FR. Bref, en attendant plus d'infos, le tout est à pendre avec des pincettes, à mettre au conditionnel. Le fait que ce soit récent pourrait expliquer l'absence de validation officielle à ce stade, car les investigations sont probablement en cours.

En lien avec votre observation, une cyberattaque sur Harvest en mars dernier avait déjà exposé des données de clients de BPCE et MAIF. Bien que cet incident soit antérieur, il pourrait indiquer une vulnérabilité persistante dans le secteur, rendant l'alerte actuelle plausible, même si elle reste à vérifier. De plus, le vol de cookies, comme mentionné dans le post, est une technique courante, ce qui renforce la crédibilité technique de l'alerte.

En attendant des informations officielles, par précaution, il faut éviter de se connecter aux services web de la Caisse d'Épargne. Le plus simple est de se servir de l'application de votre Smartphone.

Il vient d’apporter des détails techniques, toujours à prendre au conditionnel, ça éclaire un peu mieux la situation. Si je comprends bien, les pirates auraient utilisé du CNAME cloaking pour des stats d’audience, hébergé chez AWS, et comme les machines ont été décommissionnées sans toucher au DNS, les attaquants ont pu rebooter des VM en boucle jusqu’à tomber sur les IP de statxxxx.caisse-epargne.fr. Ça sent vraiment une prise de contrôle de sous-domaine mal gérée, une faille connue, si elle s'avère exacte.

Pour abonder à ce topic, l'hypothèse où le sous-domaine statxxxx.caisse-epargne.fr resté actif via un enregistrement CNAME pointerait toujours vers une ressource AWS pourtant décommissionnée, est un cas d'école de DNS Takeover (ou prise de contrôle de sous-domaine). Cette vulnérabilité, qui résulte d'un oubli de nettoyage du DNS, est courante dans les infrastructures cloud et permet aux attaquants de s'approprier le sous-domaine. En le redirigeant vers leur propre serveur, ils peuvent alors lancer des attaques ciblées, comme le vol des cookies de session mentionné dans l'alerte récente de Martin Seys, ce qui rend cette piste particulièrement crédible en attendant la confirmation officielle de BPCE ou du CERT-FR.

Update sur la BPCE : vous pouvez reprendre une activité normale
Le trafic est « légitime » mais provient d’un truc qui n’aurait jamais du arriver là.
Le trafic n’est pas normal, mais ne conduit pas à une faille.
Pas de compromission selon Aeris.

Pour faire simple, c’est « légitime ». Pas malveillant, mais cela n’aurait jamais dû finir sur le site en lui-même.