« Il n’y a que deux types d’entreprises : celles qui ont été piratées, et celles qui ne savent pas encore qu’elles l’ont été. » Cette citation de l’ancien boss du FBI prend tout son sens ces jours-ci du côté de Figure, le géant du prêt “blockchainisé” qu’on pensait aussi solide qu’un coffre-fort suisse… Sauf que, cette fois, c’est le coffre-fort qui a pris l’eau.
La semaine dernière, Figure a confirmé avoir subi une fuite de données – sans trop donner de détails. Vous savez, la fameuse communication minimaliste : « oui, il y a eu une fuite, mais rien de bien grave, dormez tranquilles… ». Mais bon, l’eau minérale aussi, c’est incolore et ça coule vite si on ne fait pas attention, alors autant regarder dans le détail ce qui a fui chez Figure. Spoiler : ce n’est ni anecdotique, ni rafraîchissant !
C’est Troy Hunt – célèbre pour son site Have I Been Pwned – qui est allé tremper ses doigts de hacker éthique dans la mare aux poissons. Résultat ? Il a repêché près d’un million d’adresses email uniques (allez, 967 200 pour ceux qui aiment les chiffres ronds) appartenant aux clients de Figure… et ce n’est pas tout : il y avait aussi prénoms, noms, adresses physiques, numéros de téléphone et dates de naissance au menu. Autant dire que si vous êtes client Figure, vous voilà pêché dans le grand filet du dark web.
Figure pensait surfer sur la blockchain, mais ils se retrouvent à faire du paddle dans la mare des cybercriminels.
Interrogé par les journalistes (coucou, c’est nous !), Figure a préféré jouer à “qui ne dit mot consent” et n’a donné aucun commentaire. Aucune dénégation, aucun chiffre officiel, juste un silence radio qui en dit long. Quand une entreprise de la tech devient soudain timide, c’est rarement bon signe – sauf si votre business, c’est de vendre… des boules quies.
Mais qui sont donc ces hackers qui brillent autant par leur culot que par leur pseudo argent sale ? Les ShinyHunters, bien connus pour leur amour du chantage. Leur technique : voler des données, tenter d’extorquer les entreprises, puis publier un gros dossier si la rançon ne tombe pas. Cette fois, c’est ainsi 2,5 gigaoctets de données (soit de quoi écouter « Despacito » en boucle jusqu’en 2032) qui se sont retrouvés publiés, façon “open data”, sur leur site pas du tout officiel.
La morale, c’est que, pour les entreprises, l’heure n’est plus à la prudence, mais bien à la vigilance et à la transparence. Figure a joué au chat et à la souris avec les hackers, mais dans cette histoire, le fromage, ce sont les clients qui le paient… et qui en font tout un plat. Alors, la prochaine fois qu’on vous promettra que la blockchain protège tout, souvenez-vous : on peut toujours miner des cryptomonnaies, mais on n’a pas encore trouvé comment miner la confiance.
Et, pour conclure, on ne voudrait pas être mauvaise langue… mais vu le nom de leur société, Figure aurait peut-être dû deviner que leurs données finiraient par “figurer” sur internet !
Source : Techcrunch
