mot de passe

Fuite de données clients pour LDLC ? La boutique conseille de changer de mot de passe

Plusieurs internautes ont alerté ZATAZ à la suite d’un courrier envoyé par la boutique LDLC. Il leur est conseillé de changer leur mot de passe après la découverte d’une fuite de données.

Fraude informatique ! Ambiance particulière pour des clients internautes de la boutique LDLC. Plusieurs lecteurs de ZATAZ.COM ont reçu de la cyberboutique un courriel que certains ont considéré comme anxiogène. Il faut dire aussi qu’à la veille des fêtes de fin d’année, lire dans un mail qu’il est conseillé de changer son mot de passe ne laisse généralement présager rien de bon.

Dans une boutique du blackmarket, ZATAZ a repéré une proposition commerciale pour piéger LDLC.

La missive explique que « Chez LDLC, la protection de vos données et la sécurité de vos informations personnelles sont une priorité. C’est pourquoi après avoir trouvé la mise en libre consultation d’une liste d’e-mails et mots de passe sur Internet, nous pensons que la sécurité de votre compte est compromise« . L’entreprise indique que cette action est à titre de prévention « Il s’agit d’un principe de précaution suite à la découverte de cette liste comportant des mails identiques à nos clients (qui utilisent souvent les mêmes MDP). La liste/fuite ne provient pas de chez nous« . Bref, tout l’honneur de cette entreprise.

Un petit détail laisse une interrogation au coin de la souris. D’où vient cette liste de mails et mots de passe ? Au moins deux lecteurs de ZATAZ.COM, qui ont donc des notions de ce qu’est la sécurité informatique personnelle, ont créé des adresses mails uniquement destinée à LDLC. Bilan, seul le client et la boutique sont censés connaitre cette adresse ! D’autant que LDLC précise bien qu’elle ne partage pas les informations des clients.

Autre possibilité, donc, le phishing. Sauf que les deux clients en question, ceux qui ont créé un mail dédié, ne sont pas nés de la dernière pluie et ne cliquent pas sur le premier mail qui passe. Dernier point, LDLC a confirmé à ZATAZ avoir contacté des clients dont les comptes étaient inactifs depuis longtemps. Une manière de faire modifier un vieux mot de passe. Certains pourraient même penser que cela permet à LDLC de se rappeler au bon souvenir d’anciens chalands.

Des accès pour des comptes PSN, Amazon, … se vendent comme des petits pains !

Des cibles privilégiées

Comme ZATAZ vous l’a expliqué, les boutiques comme LDLC sont des cibles privilégiées pour les pirates. Alors, fuite interne ? Phishing ? Piratage ? « Nous en avons profité pour également sécuriser les vieux comptes clients non utilisés » termine LDLC. Une action du cyber marchand qui augure une préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données. Voilà qui est rassurant.

Playstation, LDLC, Gmail, CDiscount, Amazon, SushiShop … la commercialisation de compte d’accès à des services Internet est un business juteux qui existe depuis des années sur le web, comme dans le deep web. Les prix évoluent selon le site impacté, les possibilités malveillantes et l’argent que l’acheteur pourra en tirer (escroquerie, achat, …). Certains pirates n’hésitent pas à noter les boutiques pouvant être exploitées à l’occasion d’un blanchiment de cartes bancaires volées. J’ai pu détecter plusieurs ventes de données concernant des clients LDLC, mais pas que pour cette boutique. Des données qui ont été collectées par ruse, très certainement sous forme de phishing.

Certains pirates « notent » les possibilité de piéger les boutiques.

Des fuites qui se multiplient comme peut vous le montrer ZATAZ depuis des années. Plus inquiétant, les organisations françaises ne sont pas transparentes avec leurs clients, puisque 62 % d’entre elles, selon CyberArkFR, ne leur ont pas signalé des violations de données. Un comportement qui sera pénalisé dès l’entrée en vigueur du RGPD en mai prochain.

En attendant, pour vous protéger et être alerté en cas de fuite concernant vos données (mails, mots de passe, autres…) vous pouvez toujours passer par le service veille mis en place par ZATAZ.

Les propositions malveillantes avec les données d’internautes sont nombreuses.

Comment se protéger ?

D’abord, un mail par service. Une adresse mail que vous pouvez créer sous cette forme nomdelaboutiquevotrepré[email protected] ; Ensuite un mot de passe dédié. N’utilisez pas le même mot de passe pour l’ensemble de vos services web. Imaginez votre trousseau de clés physique : une clé pour votre domicile, une clé pour votre voiture, une clé pour votre boite aux lettres… C’est comme si vous aviez un passe-partout… et que vous le perdiez ! Ensuite, n’hésitez pas à utiliser une adresse qui s’autodétruira après un temps donné. Le site jetable.org devrait pouvoir vous y aider.

Enfin, pensez à faire une veille numérique concernant vos données. Une recherche sur votre adresse mail, ou des données précises. ZATAZ peut vous y aider au besoin.  Bref, s’informer, c’est déjà se sécuriser 🙂

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Roger Reply

    En même temps les mots de passe sont stockés en clair dans leur base de données …

  2. Blas Reply

    Bonjour,
    Le fait
    1. qu’une liste d’adresses de courriel ait été dérobée et que certaines adresses sont également utilisées chez des clients de LDLC ;
    2. que certains clients utilisent une adresse personnalisée pour LDLC

    ne sont pas incompatibles.
    Personne n’a dit que ladite liste comportait TOUS les clients de LDLC.
    Et donc, les clients utilisant une adresse spécifique ne figurent probablement pas dans cette liste.
    db

Répondre à Blas Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.