mot de passe

Fuite de données clients pour LDLC ? La boutique conseille de changer de mot de passe

Plusieurs internautes ont alerté ZATAZ à la suite d’un courrier envoyé par la boutique LDLC. Il leur est conseillé de changer leur mot de passe après la découverte d’une fuite de données.

Fraude informatique ! Ambiance particulière pour des clients internautes de la boutique LDLC. Plusieurs lecteurs de ZATAZ.COM ont reçu de la cyberboutique un courriel que certains ont considéré comme anxiogène. Il faut dire aussi qu’à la veille des fêtes de fin d’année, lire dans un mail qu’il est conseillé de changer son mot de passe ne laisse généralement présager rien de bon.

Dans une boutique du blackmarket, ZATAZ a repéré une proposition commerciale pour piéger LDLC.

La missive explique que « Chez LDLC, la protection de vos données et la sécurité de vos informations personnelles sont une priorité. C’est pourquoi après avoir trouvé la mise en libre consultation d’une liste d’e-mails et mots de passe sur Internet, nous pensons que la sécurité de votre compte est compromise« . L’entreprise indique que cette action est à titre de prévention « Il s’agit d’un principe de précaution suite à la découverte de cette liste comportant des mails identiques à nos clients (qui utilisent souvent les mêmes MDP). La liste/fuite ne provient pas de chez nous« . Bref, tout l’honneur de cette entreprise.

Un petit détail laisse une interrogation au coin de la souris. D’où vient cette liste de mails et mots de passe ? Au moins deux lecteurs de ZATAZ.COM, qui ont donc des notions de ce qu’est la sécurité informatique personnelle, ont créé des adresses mails uniquement destinée à LDLC. Bilan, seul le client et la boutique sont censés connaitre cette adresse ! D’autant que LDLC précise bien qu’elle ne partage pas les informations des clients.

Autre possibilité, donc, le phishing. Sauf que les deux clients en question, ceux qui ont créé un mail dédié, ne sont pas nés de la dernière pluie et ne cliquent pas sur le premier mail qui passe. Dernier point, LDLC a confirmé à ZATAZ avoir contacté des clients dont les comptes étaient inactifs depuis longtemps. Une manière de faire modifier un vieux mot de passe. Certains pourraient même penser que cela permet à LDLC de se rappeler au bon souvenir d’anciens chalands.

Des accès pour des comptes PSN, Amazon, … se vendent comme des petits pains !

Des cibles privilégiées

Comme ZATAZ vous l’a expliqué, les boutiques comme LDLC sont des cibles privilégiées pour les pirates. Alors, fuite interne ? Phishing ? Piratage ? « Nous en avons profité pour également sécuriser les vieux comptes clients non utilisés » termine LDLC. Une action du cyber marchand qui augure une préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données. Voilà qui est rassurant.

Playstation, LDLC, Gmail, CDiscount, Amazon, SushiShop … la commercialisation de compte d’accès à des services Internet est un business juteux qui existe depuis des années sur le web, comme dans le deep web. Les prix évoluent selon le site impacté, les possibilités malveillantes et l’argent que l’acheteur pourra en tirer (escroquerie, achat, …). Certains pirates n’hésitent pas à noter les boutiques pouvant être exploitées à l’occasion d’un blanchiment de cartes bancaires volées. J’ai pu détecter plusieurs ventes de données concernant des clients LDLC, mais pas que pour cette boutique. Des données qui ont été collectées par ruse, très certainement sous forme de phishing.

Certains pirates « notent » les possibilité de piéger les boutiques.

Des fuites qui se multiplient comme peut vous le montrer ZATAZ depuis des années. Plus inquiétant, les organisations françaises ne sont pas transparentes avec leurs clients, puisque 62 % d’entre elles, selon CyberArkFR, ne leur ont pas signalé des violations de données. Un comportement qui sera pénalisé dès l’entrée en vigueur du RGPD en mai prochain.

En attendant, pour vous protéger et être alerté en cas de fuite concernant vos données (mails, mots de passe, autres…) vous pouvez toujours passer par le service veille mis en place par ZATAZ.

Les propositions malveillantes avec les données d’internautes sont nombreuses.

Comment se protéger ?

D’abord, un mail par service. Une adresse mail que vous pouvez créer sous cette forme nomdelaboutiquevotrepré[email protected] ; Ensuite un mot de passe dédié. N’utilisez pas le même mot de passe pour l’ensemble de vos services web. Imaginez votre trousseau de clés physique : une clé pour votre domicile, une clé pour votre voiture, une clé pour votre boite aux lettres… C’est comme si vous aviez un passe-partout… et que vous le perdiez ! Ensuite, n’hésitez pas à utiliser une adresse qui s’autodétruira après un temps donné. Le site jetable.org devrait pouvoir vous y aider.

Enfin, pensez à faire une veille numérique concernant vos données. Une recherche sur votre adresse mail, ou des données précises. ZATAZ peut vous y aider au besoin.  Bref, s’informer, c’est déjà se sécuriser 🙂

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Roger Reply

    En même temps les mots de passe sont stockés en clair dans leur base de données …

  2. Blas Reply

    Bonjour,
    Le fait
    1. qu’une liste d’adresses de courriel ait été dérobée et que certaines adresses sont également utilisées chez des clients de LDLC ;
    2. que certains clients utilisent une adresse personnalisée pour LDLC

    ne sont pas incompatibles.
    Personne n’a dit que ladite liste comportait TOUS les clients de LDLC.
    Et donc, les clients utilisant une adresse spécifique ne figurent probablement pas dans cette liste.
    db

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.