Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Heartbleed : Darty va contacter les clients potentiellement touchés

Et de un !

Heartbleed : Darty va contacter les clients potentiellement touchés

Le 11 avril 2014 à 18h00

Comme nous l'avons évoqué dans un précédent article, la faille Heartbleed a touché de nombreux services, certains étant assez largement utilisés en France. Darty, qui avait tardé à corriger la faille sur son serveur sécurisé, vient de nous confirmer que les clients seraient finalement avertis. Tout le monde fera-t-il de même ?

Après une semaine difficile pour les administrateurs systèmes qui ont dû mettre à jour en quatrième vitesse tous leurs services exploitant une version d'OpenSSL touchée par Heartbleed, vient le temps des retombées. Comme nous l'évoquions dans un précédent article, de nombreux sites français ont été touchés, et pour le moment rares sont ceux qui ont communiqué ouvertement sur le sujet.

 

Il faut dire que la CNIL n'a pas encore mis le nez dans cette affaire, et qu'elle n'impose une communication en cas de fuites de données que dans le cas des opérateurs de téléphonie mobile et des FAI. Une situation qui pourrait d'ailleurs changer assez rapidement puisque les CNIL européennes sont en train de chercher à étendre ces obligations à l'ensemble des services en ligne. Un point sur lequel nous reviendrons prochainement.

 

Quoi qu'il en soit, le silence est pour le moment de mise chez tous ceux dont nous avons constaté qu'ils avaient été touchés par la faille, laissant des données personnelles ou des identifiants / mots de passe fuiter. C'était le cas de Darty, dont nous avions relevé qu'ils avaient laissé leurs serveurs non patchés en ligne pendant près de 48 heures, sans la moindre communication une fois que tout avait été corrigé.

 

 

Après plusieurs demandes de notre part, le compte Twitter officiel du revendeur nous a confirmé que les clients potentiellement touchés seront contactés, soit tous ceux qui se sont connectés entre lundi et mercredi. Le contenu ou la forme de cette communication ne nous a pas été confirmé, si ce n'est pour nous indiquer qu'il sera conseillé de mettre à jour le mot de passe du compte. Si jamais vous venez à la recevoir, n'hésitez pas à nous le faire savoir.

 

Reste maintenant tous les autres. Et c'est sans doute cela qui va se jouer la semaine prochaine. Le sérieux des différents acteurs concernés et leur capacité à communiquer autour d'un problème si grave, et d'apporter des solutions à leurs clients seront mis à rude épreuve. Espérons que les pouvoir publics et la CNIL joueront alors tout leur rôle.

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Tumblr vient de communiquer aussi, par mail

votre avatar

Oculus VR aussi. J’ai reçu un mail hier soir où ils conseillent de changer les mots de passe.

votre avatar

C’est passé sur TF1 non?



Alors c’est bon la populace est au courant.

votre avatar

darty contrat de confiance de defiance. <img data-src=" />

votre avatar

NXi…

Ça rend bien

votre avatar

Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />

votre avatar







vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />





En même temps, si on commence à contacter tous ceux qui ont potentiellement été touchés depuis 2 ans, on peut juste envoyer un mail à 90 % des internautes <img data-src=" />



C’est surtout que là le risque de fuite a été décuplé sur cette période là, du coup il vaut mieux déjà contacter ces utilisateurs en particulier. Pour le reste, il va y avoir des règles générales à suivre.


votre avatar







vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />





Tu te rends pas compte, ça représente surement déjà beaucoup de travail.

Alors contacter tous les clients…

…et puis c’est pas grave si la NSA (ou autre) touche aux comptes Darty… <img data-src=" />


votre avatar

LEAP Motion aussi a comuniqué par mail pour changer ses mdp

votre avatar







vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !





tu te plaindrais qu’ils aient laissé leurs clients se connecter avec id et mp sur leur site non patché, ça serait légitime



Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />



mais là, ils auraient tort de se priver <img data-src=" />


votre avatar







vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />







J’ai pas le souvenir que tu nous aies prévenus il y a 2 ans <img data-src=" />


votre avatar

Comment ça se fait que les identifiants et mots de passe sont envoyés en clair ?

Moi j’ai toujours mis en place un système qui renvoi un hash de l’identifiant, du mot de passe et d’un grain de sable généré aléatoirement toutes les minutes en fonction de la date et heure.

En clair le hash à une durée de vie d’une minute et connu du serveur. Assez de temps pour lancer une connexion.

La date est l’heure relevées sont celles du serveur pour éviter d’avoir un décalage avec l’heure du client local.

votre avatar

La faille existe depuis 2 ans et ils ne contactent que ceux qui se sont connectés entre lundi et mercredi ?

<img data-src=" />



On voit le niveau du security officer de chez Darty

votre avatar







taralafifi a écrit :



Comment ça se fait que les identifiants et mots de passe sont envoyés en clair ?

Moi j’ai toujours mis en place un système qui renvoi un hash de l’identifiant, du mot de passe et d’un grain de sable généré aléatoirement toutes les minutes en fonction de la date et heure.

En clair le hash à une durée de vie d’une minute et connu du serveur. Assez de temps pour lancer une connexion.

La date est l’heure relevées sont celles du serveur pour éviter d’avoir un décalage avec l’heure du client local.





Ce n’est pas envoyé en clair, puisque ça passe par OpenSSL <img data-src=" />


votre avatar

Est-ce qu’il y aurait une liste plus ou moins exhaustive de sites qui sont touchés ou qui ne le sont pas pour qu’on puisse changer les mots de passe ?



<img data-src=" />

votre avatar

Tu as des listes comme celle-ci :&#160gist.github.com GitHubMais le plus simple est de partir du principe que tous les sites sont touchés.

votre avatar







yellowiscool a écrit :



Tu as des listes comme celle-ci :&#160gist.github.com GitHubMais le plus simple est de partir du principe que tous les sites sont touchés.







Ok merci pour l’info. J’ai trouvé cette liste pour ceux que ça intéresserait mais elle est un peu “ancienne” :

github.com GitHubIl s’agit des 1000 sites les plus visités (alexa).


votre avatar







herbeapipe a écrit :



Est-ce qu’il y aurait une liste plus ou moins exhaustive de sites qui sont touchés ou qui ne le sont pas pour qu’on puisse changer les mots de passe ?



<img data-src=" />





Déjà dit, mais une liste n’a pas de sens, surtout si tu utilises un mot de passe sur plusieurs comptes. Sans parler du fait qu’une liste est forcément incomplète, sans parler des différents serveurs de paiement / d’auth des banques, etc.


votre avatar

Pendant ce temps personne ne parle du crach du Nasdaq, une nouvelle bulle internet est en train d’exploser. Twitter, Facebook et toutes ces conneries.

Enfin si, Nextinpact en parlera dans une semaine…

votre avatar

Le lien “Comme nous l’évoquions dans un précédent article,” ne fonctionne pas et c’est ; http: //www.pcinpact.com/news/Comme%20nous%20l%27avons%20%C3%A9voqu%C3%A9%20dans%20un%20pr%C3%A9c%C3%A9dent%20article,%20la%20faille%20Heartbleed%20a%20touch%C3%A9%20de%20nombreux%20services,%20certains%20%C3%A9tant%20assez%20largement%20utili%C3%A9s%20en%20France.%20Darty,%20qui%20avait%20tard%C3%A9%20%C3%A0%20corriger%20la%20faille%20sur%20son%20serveur%20s%C3%A9curis%C3%A9,%20vient%20de%20nous%20confirmer%20que%20les%20clients%20seraient%20finalement%20avertis.%20Tout%20le%20monde%20fera-t-il%20de%20m%C3%AAme



<img data-src=" /><img data-src=" /><img data-src=" />



Ce qui confirme aussi une observation très fréquente : certains types de liens (verification en particulier) sont peu lus et pris pour acquis.

votre avatar







millcaj a écrit :



Le lien “Comme nous l’évoquions dans un précédent article,” ne fonctionne pas et c’est ; http: //www.pcinpact.com/news/Comme%20nous%20l%27avons%20%C3%A9voqu%C3%A9%20dans%20un%20pr%C3%A9c%C3%A9dent%20article,%20la%20faille%20Heartbleed%20a%20touch%C3%A9%20de%20nombreux%20services,%20certains%20%C3%A9tant%20assez%20largement%20utili%C3%A9s%20en%20France.%20Darty,%20qui%20avait%20tard%C3%A9%20%C3%A0%20corriger%20la%20faille%20sur%20son%20serveur%20s%C3%A9curis%C3%A9,%20vient%20de%20nous%20confirmer%20que%20les%20clients%20seraient%20finalement%20avertis.%20Tout%20le%20monde%20fera-t-il%20de%20m%C3%AAme



<img data-src=" /><img data-src=" /><img data-src=" />



Ce qui confirme aussi une observation très fréquente : certains types de liens (verification en particulier) sont peu lus et pris pour acquis.









rien compris???

<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







pyro-700 a écrit :



rien compris???

<img data-src=" /><img data-src=" /><img data-src=" />





ben essaie de clicquer sur le lien

<img data-src=" />


votre avatar







millcaj a écrit :



Le lien “Comme nous l’évoquions dans un précédent article,” ne fonctionne pas et c’est ; http: //www.pcinpact.com/news/

Ce qui confirme aussi une observation très fréquente : certains types de liens (verification en particulier) sont peu lus et pris pour acquis.







Bonsoir,



Le lien est corrigé.



Pour rappel et par souci d’efficacité, un outil de signalement des erreurs est visible en bas de chaque actualité, qui envoie un e-mail à l’ensemble des membres de la rédaction.



Dans le cas des commentaires, si j’étais pas passé voir par hasard, ça aurait pu rester longtemps <img data-src=" />



Mais merci quand meme pour le signalement


votre avatar







Winderly a écrit :



Tu te rends pas compte, ça représente surement déjà beaucoup de travail.

Alors contacter tous les clients…

…et puis c’est pas grave si la NSA (ou autre) touche aux comptes Darty… <img data-src=" />





Ce serait plus simple de mailer tous les clients d’un coup et leur faire changer leur mot de passe… un mailing global ne coute rien.

Mieux, ça montre qu’on tient à ses clients.


votre avatar







Yzokras a écrit :



Pendant ce temps personne ne parle du crach du Nasdaq, une nouvelle bulle internet est en train d’exploser. Twitter, Facebook et toutes ces conneries.

Enfin si, Nextinpact en parlera dans une semaine…





Oh non je ne pense pas qu’on en soit à l’explosion de la bulle. Ça pourra arriver, mais pas pour le moment.

Ce ne sont que des corrections après un emballement généralisé pour des conneries éphémère comme Facebook et cie plus des créateurs de jeux à la con valorisé n’importe comment.

Et là ce sont plutôt les biotechnologies qui dévissent


votre avatar







Yzokras a écrit :



Pendant ce temps personne ne parle du crach du Nasdaq, une nouvelle bulle internet est en train d’exploser. Twitter, Facebook et toutes ces conneries.

Enfin si, Nextinpact en parlera dans une semaine…







C’est le moment d’acheter du Google <img data-src=" />


votre avatar







David_L a écrit :



Déjà dit, mais une liste n’a pas de sens, surtout si tu utilises un mot de passe sur plusieurs comptes. Sans parler du fait qu’une liste est forcément incomplète, sans parler des différents serveurs de paiement / d’auth des banques, etc.







Merci David pour la précision :)



Pour les différents sites qui ne communiquent pas (la plupart en fait), si il n’y pas de “https”, c’est que openssl n’est pas utilisé et donc qu’il n’y a pas de risque ? Je sais que c’est une question “noob” mais tant pis :)


votre avatar







herbeapipe a écrit :



Merci David pour la précision :)



Pour les différents sites qui ne communiquent pas (la plupart en fait), si il n’y pas de “https”, c’est que openssl n’est pas utilisé et donc qu’il n’y a pas de risque ? Je sais que c’est une question “noob” mais tant pis :)





Rien n’empêche qu’ils en aient à usage interne et ça pourrait être pire :

fuite des comptes d’admin par exemple.


Heartbleed : Darty va contacter les clients potentiellement touchés

Fermer