Un aperçu, flouté pour des raisons de confidentialité, de la base de donnée. LeMonde.fr

Les pirates qui avaient dérobé la base de données des clients de Domino's Pizza ont mis leur menace à exécution. Au printemps, ils avaient menacé de publier leur butin sur Internet si l'entreprise ne sortait pas son chéquier. A l'époque, Domino's Pizza avait fermement refusé de céder au chantage. Selon nos constatations, les pirates ont finalement publié la précieuse base de données.

Mise en ligne le 2 novembre, cette dernière n'est plus accessible, retirée de la plateforme sur laquelle elle avait été postée. Contactés par Le Monde.fr, les pirates disent travailler à sa remise en ligne. Un porte-parole de Domino's Pizza s'est lui, de son côté, refusé à tout commentaire, évoquant l'enquête en cours, confiée en juin à la Brigade d’enquêtes sur les fraudes aux technologies de l’information.

La base de donnée contient près de 600 000 noms et prénoms : la plupart sont assortis d'une adresse postale, d'un numéro de téléphone et d'une adresse courriel. Une toute petite minorité de ces adresses comporte également des indications nécessaires au livreur pour accéder au logement du client, comme des codes d'entrée d'immeuble.

Cette base de données, qui semble comporter l'intégralité des clients de Domino's Pizza ayant créé un compte sur le site, comporte des informations assez anciennes : certaines remontent à l'année 2007. Si elle contient les mots de passe des comptes Domino's Pizza, aucune information bancaire n'apparaît, comme l'avait précisé l'entreprise au moment du piratage.

L'argent comme motif

Le piratage est l'œuvre de Rex Mundi, un collectif comptant « entre 2 et 10 personnes », ont-ils expliqué au Monde.fr, refusant d'être plus précis. Celui-ci est à l'origine de plusieurs piratages ces dernières années, assortis de demande de rançon contre plusieurs entreprises françaises, belges, canadiennes ou américaines. Leur motivation ? « Uniquement l'argent. Si une entreprise nous paie, nous ne publions pas », assurent-ils.

La publication d'une base de données aussi vaste est sans précédent en France. A ce titre, elle est inquiétante et pourrait être utilisée par des pirates pour mener des campagnes de phishing. Cette pratique consiste à envoyer des messages à des internautes en se faisant passer pour un interlocuteur légitime (par exemple son fournisseur d'électricité) afin de se faire communiquer des données sensibles, comme un numéro de carte bancaire. Une manipulation facilitée lorsqu'on dispose de l'adresse, du nom, de l'adresse et même du numéro de téléphone de sa cible.

« Les sociétés auxquelles ces pirates s'attaquent ont un point commun : une très grosse base de données ou des données particulièrement sensibles ou stratégiques », confirme Erwan Keraudy, l'un des fondateurs de CybelAngel, une entreprise française de sécurité informatique spécialiste des détections des fuites de données. « Si je suis un cybercriminel, je vais m'intéresser par exemple aux adresses d'entreprises ou d'administrations », note Nathan Sigal analyste chez CybelAngel. La base de données comporte en effet 70 titulaires d'adresses électroniques en « .gouv.fr », 20 salariés de Veolia, trois d'Areva et une vingtaine d'EDF.

Un conseil à ceux qui sont susceptibles de se trouver dans cette base de données : changer régulièrement ses mots de passe et prendre garde aux courriers d'apparence officielle qui leur parviennent.

Lire aussi : Comment choisir un bon mot de passe ?