Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

LaCie piratée pendant un an, identifiants et numéros de CB dans la nature

Heartbleed ? Même pas

LaCie piratée pendant un an, identifiants et numéros de CB dans la nature

Le 15 avril 2014 à 07h00

LaCie vient de publier une notification alarmante : pendant un an, une personne non autorisée utilisait des malwares afin d'accéder aux transactions des clients qui passaient par sa boutique en ligne. De nombreuses données personnelles ont ainsi été dérobées, dont des numéros de carte bancaire.

LaCie

 

Triste mois pour la sécurité informatique. Alors que la faille Heartbleed d'OpenSSL n'a pas encore fini de faire parler d'elle, c'est LaCie qui annonce avoir été victime d'un piratage d'envergure. La société indique que, le 19 mars dernier, le FBI l'a contactée afin de l'informer qu'un pirate utilisait un malware pour récupérer des informations confidentielles. Elle a alors engagé un spécialiste de la sécurité sur internet afin de faire un état des lieux... et la situation n'est pas franchement reluisante.

 

En effet, les informations dérobées comprennent, entre autres, nom, prénom, adresse, email, identifiant, mot de passe associé, mais aussi et surtout des numéros de carte bancaire avec la date d'expiration. Mais pire encore, LaCie ajoute que cela a duré pendant... un an : « selon nos investigations, nous pensons que les transactions ayant eu lieu entre le 27 mars 2013 et le 10 mars 2014 sont concernées ». 

 

LaCie précise que si vous avez remarqué une utilisation frauduleuse de votre carte de paiement, il faut immédiatement contacter votre banque. Bien évidemment, il est aussi plus que recommandé de changer de mot de passe au plus vite. Des mesures vont être prises afin de renforcer la sécurité et, en attendant qu'une solution jugée satisfaisante soit trouvée et mise en place, la boutique en ligne restera fermée, ce qui n'est pas le cas du reste du site qui continue de fonctionner normalement. Les clients impactés sont progressivement contactés depuis le 11 avril.

 

Quoi qu'il en soit, le retour de bâton risque d'être assez violent pour LaCie, alors que la société mise beaucoup sur la sécurité, notamment en ce qui concerne Wuala, son service stockage en ligne, qui est l'un des rares à proposer un chiffrement des données côté client. De notre côté, nous avons contacté LaCie pour avoir de plus amples informations.

Commentaires (64)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







ledufakademy a écrit :



Note : En l’état actuel de la technologie un SI est insécurisable (parole d’expert … que je fût et suis encore un peu …).







J’irai même plus loin, un SI par nature ne peut pas et ne pourra jamais quelque soit l’état futur de la technologie être sécurisé.



Le SI a vocation à être utilisé par un grand nombre d’intervenant, ce qui augmente donc exponentiellement les gestes stupides d’utilisateurs. Je ne compte pas le nombre de mots de passes, clés privées et autres informations extrêmement confidentielles que l’on m’a transmises par mail non sécurisé (par mégarde ou juste par flemmardise) alors que je ne suis qu’un simple prestataire sans aucune accréditation.



De plus on rajoute à ça le fait que trop souvent les DSI ne sont plus depuis longtemps composés d’informaticiens qualifiés mais au mieux :




  • d’une poignée de bons gestionnaires (qui externalisent à la SSII la plus concurrentielle du dernier appel d’offre)

  • d’une majorité d’incompétents notoires pas même capable alors qu’on leur dicte mot à mot les instructions de configurer un simple DNS (c’est pour dire le niveau)



    Bah on comprends vite les désastres récurrents.


votre avatar

Mais si, il suffit de debrancher le rj45…

Probleme reglé! <img data-src=" />

votre avatar







Yangzebul a écrit :



J’irai même plus loin, un SI par nature ne peut pas et ne pourra jamais quelque soit l’état futur de la technologie être sécurisé.



Le SI a vocation à être utilisé par un grand nombre d’intervenant, ce qui augmente donc exponentiellement les gestes stupides d’utilisateurs. Je ne compte pas le nombre de mots de passes, clés privées et autres informations extrêmement confidentielles que l’on m’a transmises par mail non sécurisé (par mégarde ou juste par flemmardise) alors que je ne suis qu’un simple prestataire sans aucune accréditation.



De plus on rajoute à ça le fait que trop souvent les DSI ne sont plus depuis longtemps composés d’informaticiens qualifiés mais au mieux :




  • d’une poignée de bons gestionnaires (qui externalisent à la SSII la plus concurrentielle du dernier appel d’offre)

  • d’une majorité d’incompétents notoires pas même capable alors qu’on leur dicte mot à mot les instructions de configurer un simple DNS (c’est pour dire le niveau)



    Bah on comprends vite les désastres récurrents.





    <img data-src=" />


votre avatar







Guiguiolive a écrit :



Mais si, il suffit de debrancher le rj45…

Probleme reglé! <img data-src=" />





T’es plus un SI dans ce cas là j’ai envie de dire ^^


votre avatar







Xaelias a écrit :



T’es plus un SI dans ce cas là j’ai envie de dire ^^





En fait, tout dépend de ce qu’on entend par “débrancher le câble”. Toujours est-il que ce n’est pas si aberrant que ça, dans certains cas, pour certaines parties du parc et selon l’exigence de sécurité imposée par le coeur de métier concerné.


votre avatar

C’est rigolo que ça tombe sur une boîte française, est-ce que ça passe pour un défaut de sécurisation du coup <img data-src=" /> ?

votre avatar

Quand je vois ça, comment commander sereinement sur n’importe quel autre site ? Vu que c’est tombé sur eux comme ça aurait certainement pu être le cas ailleurs… À part passer par PayPal comme intermédiaire pour ceux qui l’acceptent, et encore… <img data-src=" />

votre avatar



identifiants et numéros de CB dans la nature



e-carte à numéro unique auprès d’un seul marchand à la fois

votre avatar







Leslinieres a écrit :



Quand je vois ça, comment commander sereinement sur n’importe quel autre site ? Vu que c’est tombé sur eux comme ça aurait certainement pu être le cas ailleurs… À part passer par PayPal comme intermédiaire pour ceux qui l’acceptent, et encore… <img data-src=" />





Les e-cartes bleues sont là pour ça: Moins de commissions et plus de sécurité.


votre avatar







YesWeekEnd a écrit :



On peut donc supposer que le malware chopait ces informations à la volée, nul besoin qu’elles soient stockées.







Quand on tape le numéro de CB, on est normalement dans le chemin de paiement, donc HTTPS. Ca veut dire que le malware arrivait à déchiffrer à la volée ce qui est (censé être) chiffré ?


votre avatar







Jarodd a écrit :



Quand on tape le numéro de CB, on est normalement dans le chemin de paiement, donc HTTPS. Ca veut dire que le malware arrivait à déchiffrer à la volée ce qui est (censé être) chiffré ?





C’est surtout que selon ce que dit laCie ça ne passait jamais par eux.



Quand je tape mon mot de passe dans un module d’une banque mes infos bancaires vont directement à la banque, elles ne passent jamais par le site du marchand et en plus elles sont chiffrés avec les clés entre la banque et moi.

Tout ce que voit le marchand c’est un token de validation de la banque pour dire que j’ai payé. Je vois pas comment un malware au niveau du marchand peut récupérer le numéro de carte bleu si leCie passe réellement par un prestataire externe. (Je n’ai jamais commandé chez eux, mais au moment du paiement c’est une page laCie où c’est un page de la boite de presta?)


votre avatar







Jarodd a écrit :



Quand on tape le numéro de CB, on est normalement dans le chemin de paiement, donc HTTPS. Ca veut dire que le malware arrivait à déchiffrer à la volée ce qui est (censé être) chiffré ?





Je suis d’accord avec ta remarque, si le malware s’attaquait directement à l’échange web. Est-ce que dans le processus de commande certaines informations sont (étaient ?) temporairement inscrites en clair côté serveur ?



Il est possible aussi que l’explication qui nous est donnée ne soit pas l’exacte description, quitte à faire crier sur les terms of use, afin de ne pas encourager d’autres exactions du même type.


votre avatar







Bill2 a écrit :



Comment on peut laisser un malware sur un serveur pendant 1 an ? <img data-src=" />





  • Pas d’audit régulier ?

  • Pas d’antivirus ?

  • Pas de firewall correctement configuré ?

  • Analyse des logs / process lancés ?





    Dans toutes les opérations que tu cites, on peut ne pas couvrir tous les cas. Bien entendu, le risque est d’autan plus faible qu’il y a plus de vérifications, mais il ne sera jamais réduit à 0. Or, le hacker cherchera toujours une des failles pas encore vérifiées.

    Et bien que je ne suis pas admin réseau, je ne pense pas me tromper en disant que ça demande un effort considérable de vérifier régulièrement la sécurité d’un serveur, bien plus que l’effort que le cracker a à faire.



    Donc oui, je pense qu’un malware qui reste sur un site de ce genre peut effectivement y rester non détecté pendant longtemps sans qu’on puisse dire que l’admin est une grosse feignasse incompétente.


votre avatar







Jarodd a écrit :



C’est tellement gros qu’on dirait un poisson d’avril pas frais. Le fait d’être averti par le FBI c’est quand même priceless… Le jour où on remet le prix Pulitzer au Washington Post et au Guardian pour la diffusion des infos de Snowden, c’est assez ironique. M’est avis qu’on n’a pas fini d’entendre ce genre de choses, malheureusement.







Je vois pas ce qu’il y a de surprenant à ce que le FBI prévienne quelqu’un d’un danger ou d’une agression qu’il subit. C’est une police “civile”, pas un service secret. C’est pas plus délirant que d’imaginer que la Police nationale face la même chose en France.


votre avatar

En tout cas, leur transparence est à remarquer. Ça change des “y’a eu un problème, mais vous inquiétez pas tout est sécurisé y’a plus de problème, juste temporairement éventuellement quelqu’un aurait pu par inadvertance accéder malencontreusement à quelques données qui pourraient éventuellement être personnelles, mais c’est corrigé promis juré, et on ne vous donne aucune information plus précise, car nous pensons que ce n’est pas ce qui intéresse nos clients”.

votre avatar







Bill2 a écrit :



Comment on peut laisser un malware sur un serveur pendant 1 an ? <img data-src=" />





  • Pas d’audit régulier ?

  • Pas d’antivirus ?

  • Pas de firewall correctement configuré ?

  • Analyse des logs / process lancés ?







    En sécu on peut dire :

    “il y a ceux qui ont été piratés et ceux qui ne le savent pas encore”.



    Je ne sais pas comment ça se passe chez LaCie, mais par exemple, un rootkit peut être très complexe à détecter.

    Qui plus est si derrière c’est un groupe organisé ou pas.


votre avatar







le podoclaste a écrit :



Je vois pas ce qu’il y a de surprenant à ce que le FBI prévienne quelqu’un d’un danger ou d’une agression qu’il subit. C’est une police “civile”, pas un service secret. C’est pas plus délirant que d’imaginer que la Police nationale face la même chose en France.







Donc le FBI sait qu’il y a un trou dans la raquette de LaCie, mais LaCie ne le sait pas ? C’est cela que je trouve aberrant.



Ou alors ils ont chopé un gars sur une autre affaire et il a craché le morceau <img data-src=" /> Mais je ne vois pas comment le FBI peut le découvrir seul. Il nous manque cette explication dans l’actu (mais personne ne doit le savoir pour l’instant).


votre avatar







StillNess a écrit :



En sécu on peut dire :

“il y a ceux qui ont été piratés et ceux qui ne le savent pas encore”.



Je ne sais pas comment ça se passe chez LaCie, mais par exemple, un rootkit peut être très complexe à détecter.

Qui plus est si derrière c’est un groupe organisé ou pas.







Et comme dit plus haut dans les commentaires, si c’est une saleté codée de zéro spécialement pour LaCie, les antivirus n’ont que très peu de chance de le détecter…


votre avatar







le podoclaste a écrit :



Je vois pas ce qu’il y a de surprenant à ce que le FBI prévienne quelqu’un d’un danger ou d’une agression qu’il subit. C’est une police “civile”, pas un service secret. C’est pas plus délirant que d’imaginer que la Police nationale face la même chose en France.





<img data-src=" /> Monsieur, votre machine à écrire a été piratée <img data-src=" />


votre avatar







Jarodd a écrit :



Donc le FBI sait qu’il y a un trou dans la raquette de LaCie, mais LaCie ne le sait pas ? C’est cela que je trouve aberrant.



Ou alors ils ont chopé un gars sur une autre affaire et il a craché le morceau <img data-src=" /> Mais je ne vois pas comment le FBI peut le découvrir seul. Il nous manque cette explication dans l’actu (mais personne ne doit le savoir pour l’instant).







Bah çà peut être assez simple en fait, imaginons bêtement que le FBI fasse son boulot et travaille à l’échelle nationale sur l’utilisation frauduleuse de cartes bancaires. Les agents recoupent les plaintes et voilà que dans x% des cas, un achat sur le site de laCie est présent avant le début des fraudes… bref de fil en aiguille…


votre avatar







Jarodd a écrit :



Donc le FBI sait qu’il y a un trou dans la raquette de LaCie, mais LaCie ne le sait pas ? C’est cela que je trouve aberrant.



Ou alors ils ont chopé un gars sur une autre affaire et il a craché le morceau <img data-src=" /> Mais je ne vois pas comment le FBI peut le découvrir seul. Il nous manque cette explication dans l’actu (mais personne ne doit le savoir pour l’instant).







Hypothèse : le FBI surveille un mec chelou qui brasse des millions de dollars tous les mois de manière suspecte. Ils surveillent sa connexion internet, s’aperçoivent qu’il sniffe des numéro de CB depuis le site de LaCie et ponctionne quelques dollars sur les comptes correspondant.



Hypothèse, hein. Mais c’est plausible qu’une police découvre ça sans s’introduire chez LaCie.



Edit: grillé par CryoGen, avec une hypothèse plus probable.


votre avatar







zempa a écrit :



Je ne comprend pas pourquoi ils enregistrent les numéros de carte bancaire sur une site de vente en ligne ?



Dans pas mal de site de vente en ligne, on est redirigé vers une plateforme de paiement sur laquelle on procède au paiement. Dans ce cas, inutile d’enregistrer le numéro de carte bancaire.





les commissions à payer <img data-src=" />


votre avatar







Jarodd a écrit :



Donc le FBI sait qu’il y a un trou dans la raquette de LaCie, mais LaCie ne le sait pas ? C’est cela que je trouve aberrant.



Ou alors ils ont chopé un gars sur une autre affaire et il a craché le morceau <img data-src=" /> Mais je ne vois pas comment le FBI peut le découvrir seul. Il nous manque cette explication dans l’actu (mais personne ne doit le savoir pour l’instant).





Ca arrive régulièrement que le FBI chope des mecs et informe les victimes. Ca doit être le cas ici.


votre avatar

LaCie travaillait pour La CiA…<img data-src=" /><img data-src=" />

votre avatar

Hypothése simple, le FBI fait un achat sur le site de LaCie, et ils voient un paiement bizarre sur leurs comptes suite à cet achat, ils enquetent, eet remontent jusqu’au galopin.<img data-src=" /><img data-src=" />




votre avatar







Bill2 a écrit :



Comment on peut laisser un malware sur un serveur pendant 1 an ? <img data-src=" />





  • Pas d’audit régulier ?

  • Pas d’antivirus ?

  • Pas de firewall correctement configuré ?

  • Analyse des logs / process lancés ?





    Vas, y ils t’attendent, sécurises nous tous çà.


votre avatar

Une nouvelle expression verra peut-être le jour : LaCie, clients fidèles.


votre avatar

Sinon l’actu n’est pas claire : Wuala est touché ou pas ? C’est la même infra que le site en ligne ou pas ?

votre avatar

“LaCie précise que si vous avez remarqué une utilisation frauduleuse de votre carte de paiement, il faut immédiatement contacter votre banque”



==&gt; Dans tous les cas il FAUT suivre très régulièrement ses transactions bancaires et de cartes de crédit et au moins ses soldes



Pour le reste je trouve que c’est une nouvelle fois une bonne piqûre de rappel ce(s) problème(s) de sécurité qui sont soulevé(s). C’est un travail permanent.

votre avatar







Jarodd a écrit :



PCI, un petit interview de quelqu’un de LaCie est-il prévu ? Histoire d’avoir quelques explications…









La news a écrit :



De notre côté, nous avons contacté LaCie pour avoir de plus amples informations.





Encore un qui n’a pas tout lu <img data-src=" />


votre avatar







raphke a écrit :



“LaCie précise que si vous avez remarqué une utilisation frauduleuse de votre carte de paiement, il faut immédiatement contacter votre banque”



==&gt; Dans tous les cas il FAUT suivre très régulièrement ses transactions bancaires et de cartes de crédit et au moins ses soldes



Pour le reste je trouve que c’est une nouvelle fois une bonne piqûre de rappel ce(s) problème(s) de sécurité qui sont soulevé(s). C’est un travail permanent.









A chaque fois que je lis ce genre de news, moi ça me rappelle surtout que ma banque (le crédit patate) n’a toujours pas (et ne veut pas, d’après mon banquier…) mettre en place un système de carte bancaire virtuelle, qui résoudrait pourtant bien des problèmes, coté acheteur.


votre avatar







neves a écrit :



A chaque fois que je lis ce genre de news, moi ça me rappelle surtout que ma banque (le crédit patate) n’a toujours pas (et ne veut pas, d’après mon banquier…) mettre en place un système de carte bancaire virtuelle, qui résoudrait pourtant bien des problèmes, coté acheteur.







Euhhh carte bancaire … virtuelle ? Pour moi c’est contradictoire carte et virtuelle

Tu as un compte et tu as un moyen de paiement virtuel mais carte ? Je n’ai pas compris :(


votre avatar







Bug a écrit :



Encore un qui n’a pas tout lu <img data-src=" />







Une information supplémentaire n’est pas forcément une interview <img data-src=" />


votre avatar







raphke a écrit :



Euhhh carte bancaire … virtuelle ? Pour moi c’est contradictoire carte et virtuelle

Tu as un compte et tu as un moyen de paiement virtuel mais carte ? Je n’ai pas compris :(







Tu vas sur un site de ta banque (la caisse d’épargne le fait par exemple), tu t’identifies et tu rentre un montant, disons 100 €, et le site te génère un numéro de carte bancaire valide, qui ne “contient” que 100 € (soit le montant de la commande que tu vas effectuer juste après). Si quelqu’un pirate le site et récupère le numéro de carte bancaire, il ne pourra rien en faire, la carte sera “vide”, et il n’aura jamais ta vraie carte bancaire physique.


votre avatar







neves a écrit :



Tu vas sur un site de ta banque (la caisse d’épargne le fait par exemple), tu t’identifies et tu rentre un montant, disons 100 €, et le site te génère un numéro de carte bancaire valide, qui ne “contient” que 100 € (soit le montant de la commande que tu vas effectuer juste après). Si quelqu’un pirate le site et récupère le numéro de carte bancaire, il ne pourra rien en faire, la carte sera “vide”, et il n’aura jamais ta vraie carte bancaire physique.







Ah oki ! Merci !

Donc c’et un peu comme une carte de téléphone prépayée (ou autres cartes de crédit prépayées).

Tu ne paies que ce que tu y as mis dessus et si on te pirate tu ne perdras ‘que’ ce qui y était (et encore, il y a peut-être des moyens de contestation). C’est ça ? J’ai compris ?


votre avatar







raphke a écrit :



Ah oki ! Merci !

Donc c’et un peu comme une carte de téléphone prépayée (ou autres cartes de crédit prépayées).

Tu ne paies que ce que tu y as mis dessus et si on te pirate tu ne perdras ‘que’ ce qui y était (et encore, il y a peut-être des moyens de contestation). C’est ça ? J’ai compris ?









toutafé <img data-src=" />


votre avatar







neves a écrit :



A chaque fois que je lis ce genre de news, moi ça me rappelle surtout que ma banque (le crédit patate) n’a toujours pas (et ne veut pas, d’après mon banquier…) mettre en place un système de carte bancaire virtuelle, qui résoudrait pourtant bien des problèmes, coté acheteur.







Un très bon système en effet.

Je l’utilise systématiquement, même sur les grands sites marchands.

Un système qui ajoute une sécurité supplémentaire sans que tes vraies données de CB ne se retrouvent jamais stockées sur un quelconque serveur quelque part dans le monde.


votre avatar







Jarodd a écrit :



Une information supplémentaire n’est pas forcément une interview <img data-src=" />







Dans les deux cas, il faudrait déjà qu’on ait un début de réponse<img data-src=" />


votre avatar







neves a écrit :



A chaque fois que je lis ce genre de news, moi ça me rappelle surtout que ma banque (le crédit patate) n’a toujours pas (et ne veut pas, d’après mon banquier…) mettre en place un système de carte bancaire virtuelle, qui résoudrait pourtant bien des problèmes, coté acheteur.





Bien pratique, car tout est modifié, y compris le code CVV à 3 chiffres derrière, la date de péremption de la carte (1 mois, le temps que le marchand fasse le prélèvement) et le montant limité (souvent, celui de l’achat donc unique). A ça, je mets souvent un faux nom (vu que le n° de l’e-CB est juste, ça ne change rien) pour éviter à mettre le mien, 0 souci.


votre avatar







StillNess a écrit :



En sécu on peut dire :

“il y a ceux qui ont été piratés et ceux qui ne le savent pas encore”.



Je ne sais pas comment ça se passe chez LaCie, mais par exemple, un rootkit peut être très complexe à détecter.

Qui plus est si derrière c’est un groupe organisé ou pas.





pas mieux.


votre avatar

Internet en 2014 <img data-src=" />

votre avatar

Un an. :|

votre avatar



le FBI l’a contactée afin de l’informer qu’un pirate utilisait un malware pour récupérer des informations confidentielles



Le FBI… le FBI ???

votre avatar







Winderly a écrit :



Le FBI… le FBI ???







Le FBI est là pour nous protéger. Normal. <img data-src=" />









<img data-src=" />


votre avatar







Winderly a écrit :



Le FBI… le FBI ???







Oui aux states c’est le fbi qui s’occupe des marins d’eau douce.



Mais ça veut dire que si le mec ne s’était pas fait gaulé, lacie continuerait de fuiter des info clients ?



http://www.lacie.com/fr/legal/terms.htm





ARTICLE 10 : SECURISATION



Notre site fait l’objet d’un système de sécurisation: Nous avons adopté le procédé de cryptage SSL mais nous avons aussi renforcé l’ensemble des procédés de brouillage et de cryptage pour protéger le plus efficacement possible toutes les données sensibles liées aux moyens de paiement.



Pour protéger ses clients contre une éventuelle intrusion, LaCie S.A.S. ne stocke pas les numéros de carte bancaire sur ses serveurs informatiques. Les numéros de carte bancaire sont traités par SIPS ATOS qui retourne à LaCie S.A.S. un numéro d.autorisation





Donc c’est du bullshit ce qu’ils racontent sur la sécurisation s’ils se sont fait tapés les numéros de cb.


votre avatar

Je pense que LaCie se serait bien passé de divulguer cette information. Parce que là, je ne vois même pas comment ils arriveraient à conserver ne serait-ce qu’un seul client.

votre avatar

Et la NSA (ou pire…) a accès à tout les disques durs de la marque ? <img data-src=" />

votre avatar







darkbeast a écrit :



http://www.lacie.com/fr/legal/terms.htm





Donc c’est du bullshit ce qu’ils racontent sur la sécurisation s’ils se sont fait tapés les numéros de cb.







Ca c’est intéressant! On lit ces lignes partout : “XXX. ne stocke pas les numéros de carte bancaire sur ses serveurs informatiques”. La plupart des sites ne feraient-ils qu’un copier/coller des conditions légales sans même les lire et se les appliquer? Ca ne m’étonnerait qu’à moitié :/


votre avatar

Je ne comprend pas pourquoi ils enregistrent les numéros de carte bancaire sur une site de vente en ligne ?



Dans pas mal de site de vente en ligne, on est redirigé vers une plateforme de paiement sur laquelle on procède au paiement. Dans ce cas, inutile d’enregistrer le numéro de carte bancaire.

votre avatar

J’ai pas bien compris : Il était où le malware ? Qui est concerné ? Seuls ceux qui avaient ce malware sur leur machine ou tous les utilisateurs des services LaCie ?

votre avatar

je ne sais plus qui sur pcinpact qui me disait être encore capable de sécuriser efficacement un SI …



Allez sans rancune.



Note : En l’état actuel de la technologie un SI est insécurisable (parole d’expert … que je fût et suis encore un peu …).



Edit : C’est d’ailleurs pour cela que les news sur les failles/sécu etc …me font rire ou … pas. Car le stock de news de se type sera inépuisable.

votre avatar

Euh, le malware était situé où ? Sur les serveurs de LaCie ?

votre avatar







darkbeast a écrit :



Donc c’est du bullshit ce qu’ils racontent sur la sécurisation s’ils se sont fait tapés les numéros de cb.







Faut lire aussi :





… afin d’accéder aux transactions des clients qui passaient par sa boutique en ligne.





Les données proviennent de flux, pas d’espaces de stockages.


votre avatar







darkbeast a écrit :



http://www.lacie.com/fr/legal/terms.htm







Donc c’est du bullshit ce qu’ils racontent sur la sécurisation s’ils se sont fait tapés les numéros de cb.





A savoir si il s’agit de numéro de carte bvancaires des clients du monde entier ou qu’aux états unis par exempe, p-e que pour les clients d’autres pays ils changent selon la législation des pays en question


votre avatar







Bill2 a écrit :



Euh, le malware était situé où ? Sur les serveurs de LaCie ?







Il semblerait oui.


votre avatar







tuorhuor a écrit :



Les données proviennent de flux, pas d’espaces de stockages.





Les flux ne passent pas par laCie non plus selon ce que je lis dans les conditions d’utilisation.


votre avatar







StillNess a écrit :



Il semblerait oui.







Comment on peut laisser un malware sur un serveur pendant 1 an ? <img data-src=" />





  • Pas d’audit régulier ?

  • Pas d’antivirus ?

  • Pas de firewall correctement configuré ?

  • Analyse des logs / process lancés ?


votre avatar







Bill2 a écrit :



Euh, le malware était situé où ? Sur les serveurs de LaCie ?







Oui et il enregistrait toutes les transactions si on lis l’article.



Pour ça qu’il faut que les services d’intermédiaire de transaction se “généralisent” (et soit à mort surveillé, voir soit contrôlé par l’état / banque de france) pour éviter de diffuser ta cb dans la nature. Le site marchand reçoit juste un “numéro de transaction bancaire unique” et ne voit jamais tes informations personnelles autre que ton adresse.


votre avatar

Ce n’est que la partie visible de l’iceberg…

votre avatar







Bill2 a écrit :



Comment on peut laisser un malware sur un serveur pendant 1 an ? <img data-src=" />





  • Pas d’audit régulier ?

  • Pas d’antivirus ?

  • Pas de firewall correctement configuré ?

  • Analyse des logs / process lancés ?





    Je n’aimerai pas être à la place du service sécurité… <img data-src=" />


votre avatar







Bill2 a écrit :



Comment on peut laisser un malware sur un serveur pendant 1 an ? <img data-src=" />





  • Pas d’audit régulier ?

  • Pas d’antivirus ?

  • Pas de firewall correctement configuré ?

  • Analyse des logs / process lancés ?





  • On parle d’une boite d’e-commerce là.

  • L’antivirus sert à rien si c’est un malware spécial laCie

  • Le firewall ne protège plus tellement une fois que le malware est à l’intérieur

  • si le malware a les droits roots les logs ne sont plus fiables.Pour les process lancés si le malware utilise une lib vérolée comme le fait Linux/Ebury par exemple ça se verra pas.



    Il faut voir le type de malware et comment il a été installé pour savoir où ça a péché du côté de laCie.


votre avatar

ha oui… alors ça c’est ballot <img data-src=" />

votre avatar







darkbeast a écrit :



Donc c’est du bullshit ce qu’ils racontent sur la sécurisation s’ils se sont fait tapés les numéros de cb.





Je ne pense pas.



L’article parle des info passées par la boutique en ligne. Donc des informations soumises par le client via son navigateur lors d’une commande.

On peut donc supposer que le malware chopait ces informations à la volée, nul besoin qu’elles soient stockées.



Il semble qu’ils aient été défaillant sur la plus vieille faille du monde : le vers dans la pomme. Tu peux avoir les plus belles murailles, si un méchant ouvre la porte c’est foutu. Bouillon est tombé comme ça (ref historique en état non caféiné)


votre avatar

C’est tellement gros qu’on dirait un poisson d’avril pas frais. Le fait d’être averti par le FBI c’est quand même priceless… Le jour où on remet le prix Pulitzer au Washington Post et au Guardian pour la diffusion des infos de Snowden, c’est assez ironique. M’est avis qu’on n’a pas fini d’entendre ce genre de choses, malheureusement.



PCI, un petit interview de quelqu’un de LaCie est-il prévu ? Histoire d’avoir quelques explications…









zempa a écrit :



Je n’aimerai pas être à la place du service sécurité… <img data-src=" />







Probablement externalisé, donc ils vont se renvoyer la balle, “obligation de moyen ou de résultat”, “cas de force majeure”, blablabla, voire aller au procès, et au final on ne saura jamais qui est responsable.


LaCie piratée pendant un an, identifiants et numéros de CB dans la nature

Fermer