Au Forum InCyber de Lille, le hacker éthique Clément Domingo, alias SaxX, a dressé une fresque aussi dense qu’édifiante d’un an de cyberattaques en France. À travers les exemples concrets de Free, Boulanger, Darty ou SFR, il a décortiqué les mécanismes des fuites de données, pointé les erreurs de communication des entreprises et livré une série de conseils pragmatiques. Pour les professionnels du retail et du e-commerce, l’intervention sonne comme un appel à la lucidité et à l’action.
Le Forum InCyber, qui se tient chaque année dans la capitale des Flandres, est devenu une référence pour les professionnels de la cybersécurité. C’est dans ce cadre que Clément Domingo, hacker éthique rennais, est intervenu pour partager son analyse d’un an de cyberattaques et de fuites de données en France.
Suivi par des milliers de connaisseurs sur les réseaux sociaux, SaxX se distingue par sa capacité à détecter les fuites, à les authentifier, et à alerter les entreprises avant qu’elles ne soient massivement exploitées. Il revendique une posture de lanceur d’alerte, rigoureuse et informée, et collabore régulièrement avec des équipes internes dans les sociétés pour recouper les informations.
Des attaques devenues ordinaires dans un paysage de plus en plus brouillé
Ce que Clément Domingo met en lumière, c’est une normalisation progressive des attaques informatiques contre les marques. Désormais, les fuites de data ne sont plus l’exception, mais la règle. «On ne se rend pas toujours compte de l’ampleur du phénomène parce qu’il s’est banalisé. Mais aujourd’hui, on parle de dizaines de millions de données exposées presque chaque mois », alerte-t-il d’entrée de jeu.
Les enseignes de la distribution, du e-commerce ou encore des télécoms apparaissent comme des cibles de choix. Free, Boulanger, Darty, SFR… autant de noms bien connus du grand public, tous cités durant la conférence comme ayant été récemment compromis, de façon partielle ou massive. Le constat est clair : «Le retail est visé car il concentre des volumes impressionnants de données personnelles.»
Free, Boulanger, Darty : des cas révélateurs d’une mécanique bien huilée
Parmi les cas les plus marquants, Clément Domingo revient en détail sur la fuite massive chez Free. Les attaquants ont diffusé un premier lot de 100 000 emails gratuitement, puis orchestré la diffusion d’un volume bien plus conséquent, estimé à plusieurs millions de lignes. Ce qui a frappé, ce n’est pas seulement le chiffre, mais la mise en scène. Les cybercriminels ont repris une image célèbre de Xavier Niel à l’Olympia, détournée pour annoncer leur action. «C’est une stratégie de communication à part entière, observe SaxX. Ils reprennent les codes de la publicité, ils savent créer un effet viral.»
Le cas Boulanger, survenu quelques semaines plus tôt, illustre une autre facette du problème : une communication d’entreprise ressentie comme déconnectée de la réalité de l’incident. Alors que 27 millions de lignes circulaient sur les canaux souterrains, l’enseigne affirmait dans un premier message que tout était sous contrôle. «Ce message n’a rassuré personne, au contraire. Ce genre de déclaration entretient la défiance. Si vous êtes une marque et que vous êtes victime d’un incident, assumez-le. Soyez transparent. C’est la seule façon de restaurer la confiance.»
Le cas de Darty a suivi une trajectoire similaire. Des semaines avant que la fuite ne soit rendue publique, les bases de données étaient déjà en vente sur les forums spécialisés. Là encore, les attaquants ont pris le temps, agi discrètement, et la détection est arrivée tardivement. «Ces fuites ne sont pas toujours spectaculaires, mais elles sont efficaces. Elles passent souvent sous les radars parce qu’il n’y a pas d’interruption de service. Mais le préjudice est bien réel.»
Des données revendues à prix cassés, mais à fort rendement
Une des idées reçues que Clément Domingo démonte méthodiquement est celle selon laquelle les données volées valent une fortune. En réalité, ces bases sont revendues pour des sommes dérisoires : 2 000 euros pour les 27 millions d’enregistrements Boulanger, par exemple. Le modèle économique est simple : vendre plusieurs fois, rapidement, pour rentabiliser l’effraction. «Plus une base circule, plus elle rapporte. Le but, ce n’est pas de faire un gros coup, c’est de faire du volume.»
Ces données, une fois en circulation, alimentent des campagnes de phishing, d’usurpation, de fraudes au support client, ou même de recrutement ciblé dans des contextes d’ingénierie sociale. «Quand on cumule les bases de plusieurs enseignes, on reconstitue des profils incroyablement précis. Et ce, pour quelques centimes la ligne.»
Des fausses fuites pour de vraies manipulations
SaxX met aussi en garde contre une pratique de plus en plus fréquente : la revendication de fuites fabriquées de toutes pièces. Certains groupes malveillants utilisent d’anciennes bases, les modifient légèrement — en changeant par exemple les indicatifs téléphoniques — puis les présentent comme issues d’une attaque récente. Ce brouillage rend la tâche des entreprises plus difficile. «On voit des marques paniquer pour de fausses fuites, et à l’inverse, ne pas réagir du tout à des compromissions bien réelles. Ce brouillard informationnel est un problème croissant.»
Pour Clément Domingo, il est essentiel que les entreprises mettent en place une capacité interne à analyser rapidement les fuites. «Il faut être capable de dire en interne : est-ce que ces données nous concernent ? À quelle date ? Par quel vecteur ? Si on n’a pas ces réponses, on est aveugle.»
La communication, talon d’Achille des marques
Au fil des minutes, Clément Domingo revient à plusieurs reprises sur les erreurs de communication observées chez les marques après une cyberattaque. La plupart adoptent un discours défensif, aseptisé, voire opaque. «Aucune donnée sensible n’a été compromise», «les données bancaires ne sont pas concernées» : des formules toutes faites, qui reviennent systématiquement, quelles que soient les marques.
Pour lui, ce discours est contre-productif. «Quand vous êtes une personne âgée ou un client lambda, que vous recevez ce type de message, vous n’êtes pas rassuré. Vous êtes perdu. Il faut parler clairement, expliquer les faits, s’excuser si besoin.» Clément Domingo plaide pour une communication plus humaine, plus directe. Il note aussi que, dans certaines entreprises, des collaborateurs internes prennent sur eux de transmettre des éléments aux équipes de cybersécurité ou aux veilleurs indépendants, faute de canaux officiels adaptés.
Ce que doivent faire les entreprises, ici et maintenant
En fin de session, Clément Domingo propose plusieurs pistes concrètes pour les marques. D’abord, il recommande de suivre de près les canaux de diffusion des bases de données volées, notamment les plateformes comme BreachForums, XSS ou certains groupes Telegram. Pour lui, cette veille est aussi essentielle que celle que l’on exerce sur les réseaux sociaux ou les avis clients. «Ces forums sont devenus le nouveau terrain d’observation. On peut y voir les signaux faibles, repérer des débuts de fuites, comprendre ce qui circule.»
Il insiste aussi sur l’importance de la formation continue des équipes. Il ne suffit pas d’avoir une cellule cybersécurité. Il faut que les équipes métiers — marketing, relation client, communication — comprennent les risques et sachent comment réagir. «Le jour où une base sort, il faut que tout le monde sache quoi faire. Pas juste la DSI.»
Enfin, il évoque la responsabilité collective des écosystèmes. Les cybercriminels agissent en réseau. Les marques doivent apprendre à le faire aussi. Partage d’alertes, entraide entre enseignes, collaboration avec des chercheurs indépendants : tous ces leviers doivent être mobilisés. «On ne gagnera pas cette guerre seuls. Il faut jouer collectif.»
Vers une nouvelle culture de la sécurité numérique
Ce que Clément Domingo propose, au fond, ce n’est pas seulement un audit des défaillances actuelles. C’est un changement de culture. La cybersécurité ne peut plus être considérée comme un sujet purement technique. Elle doit irriguer la stratégie, la communication, la formation, la relation client.
Les cybercriminels n’ont plus rien d’amateur. Ils sont organisés, agiles, parfois même habiles communicants. Face à eux, les marques doivent se professionnaliser, non pas dans la peur, mais dans la compréhension. « Si on ne sensibilise pas nos écosystèmes, on continuera à subir les mêmes attaques, en boucle», conclut-il.
Un constat limpide, et une injonction à ne plus traiter la cybersécurité comme un incident ponctuel, mais comme un enjeu durable de confiance.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire