Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mots de passe désactivés chez LDLC : réactivation de vieux comptes plutôt que faille de sécurité

#FEAR de Noël

Mots de passe désactivés chez LDLC : réactivation de vieux comptes plutôt que faille de sécurité

Le 19 décembre 2017 à 15h25

Plusieurs lecteurs nous ont récemment indiqué que LDLC avait désactivé leur mot de passe, évoquant une sécurité de compte compromise. Le revendeur se veut rassurant : aucune faille de sécurité n'est à déplorer. En réalité, il cherchait à réactiver de vieux comptes.

La semaine dernière, LDLC alertait certains de ses clients et les incitait à changer leur mot de passe dans un email diffusé apparemment de manière assez large. Le ton se voulait à la fois rassurant et alarmiste, ce qui a créé une certaine confusion chez les destinataires :

« Chez LDLC, la protection de vos données et la sécurité de vos informations personnelles sont une priorité. C’est pourquoi, après avoir trouvé la mise en libre consultation d’une liste d’e-mails et de mots de passe sur internet, nous pensons que la sécurité de votre compte est compromise. Par précaution et pour vous protéger de toute intrusion, nous avons désactivé votre mot de passe.

Pour accéder de nouveau à votre compte, il vous suffit d’enregistrer un nouveau mot de passe si possible encore jamais utilisé sur d’autres sites. Pour cela :

- Cliquez sur la partie « Mon Compte » en haut à droite de toutes nos pages.
- Cliquez sur le lien « mot de passe oublié » au-dessus du bouton « Connexion ».
- Suivez les instructions pour créer un nouveau mot de passe.

Nous vous remercions pour votre compréhension et vous prions de bien vouloir nous excuser pour ce désagrément.

À très bientôt sur notre site, L'équipe LDLC »

Un email alarmiste, mais pas de faille

Le revendeur n'évoquait alors pas de fuite de donnée spécifique à son service, mais plutôt d'une liste de mots de passe liés à des adresses email qui circulent sur internet. Plusieurs clients nous ont néanmoins contactés, sans doute inquiétés par la désactivation forcée de leur mot de passe et l'affirmation « nous pensons que la sécurité de votre compte est compromise ».

Nous avions alors interrogé LDLC qui nous a rapidement confirmé qu'il « s'agit d'un principe de précaution suite à la découverte de cette liste sur internet comportant des mails identiques à nos clients (qui utilisent souvent les mêmes MDP). La liste/fuite ne provient pas de chez nous ». 

Un principe de précaution qui ne concerne que de vieux comptes

Nous avons cependant été étonnés de voir certains clients indiquer sur Twitter que l'adresse email touchée était propre à la boutique en ligne. Nous avons donc là encore interrogé LDLC concernant le nombre de personnes concernées, et la façon dont elles ont été sélectionnées.

Et finalement, il semblerait que le ciblage ait été bien plus basique qu'une correspondance entre la liste de clients du groupe et des emails ayant fuité sur internet. Nous n'avons d'ailleurs pas pu obtenir de précisions concernant ladite fuite.

« Cette campagne de réinitialisation de mot de passe a été envoyée à 200 000 clients « inactifs ». Les comptes inactifs sont des comptes clients avec au moins une commande passée il y a plus de 12 mois. Comme l’explique le community manager, cette campagne est préventive » nous a répondu le service presse.

Nous avons demandé au revendeur si des comptes actifs ont été également contactés, cela ne semble pas avoir été le cas, contrairement à ce qu'a affirmé un temps le compte Twitter officiel.

Ainsi, derrière cette campagne qui utilise pourtant un ton assez alarmiste, il ne s'agirait surtout que de réactiver des comptes d'anciens utilisateurs n'ayant pas passé de commande depuis au moins un an. Ils auront au moins été sensibilisés sur la question de la gestion de leurs mots de passe un peu avant les repas de fêtes.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Parfait. Voilà une pratique plutôt saine et qui rassure le client <img data-src=" />

votre avatar

ou c’est un moyen de dégraissé leur base de donnée ?, exemple ceux qui ne réactive pas dans les X mois voient leur compte définitivement supprimer ?

votre avatar

plus d’un an que j’ai pas commandé chez eux, et rien reçu…

votre avatar

J’ai changé moi-même mon mdp chez eux le mois dernier avant de passer deux nouvelles commandes (j’arrivais plu à m’en souvenir), donc pas concerné…



Mais bon, c’est toujours bien de prendre ce genre de précaution, surtout qu’il y a eu une fuite dans le base client, d’après ce que j’ai compris de l’article.

votre avatar

j’ai commandé début octobre et j’ai reçu le mail…

votre avatar

C’est un bon moyen de faire revenir les vieux clients et booster les ventes xD

votre avatar

Pareil pour moi, ma dernière commande sur LDLC date du 19 Juillet 2017 (pile 5 mois) et j’ai quand même reçu le mail le 14 décembre.



La définition de compte inactif est donc à revoir.

votre avatar

Euhh…

Le mail + la première réponse = on réinitialise des mots de passe fuités mais pas par nous (ce qui donne envie de dire bravo). Des gens font remarquer que certaines infos sont spécifiques à LDLC, et là, changement de comm, on trouve une explication qui n’implique pas de fuite (mais qui n’a absolument rien à voir avec la précédente).



Je trouve ça très très louche (mais je suis parano)

votre avatar

C’est ce que je pense aussi…



J’ai reçus le mail et je n’avais plus commandé chez eux depuis 2016.

Je ne me rappelai plus d’avoir un compte chez eux en fait <img data-src=" />

votre avatar



il ne s’agirait surtout que de réactiver des comptes d’anciens utilisateurs n’ayant pas passé de commande depuis au moins un an





Quel est l’intérêt ? Gonfler le nombre de clients actifs ? <img data-src=" />



Merci NXi de faire le SAV de LDLC <img data-src=" />

votre avatar

Légalement ils ne peuvent pas supprimer définitivement un compte. Désactiver uniquement :)

votre avatar



nous pensons que la sécurité de votre compte est compromise.





Un “peut-être” ou “potentiellement” juste avant compromise aurait peut-être moins alarmé les gens.



Sorti de ça le message me semble assez clair.

votre avatar

Mauvaise sélection du coup, il aurait fallu contacter selon la dernière modification de mot de passe et non la date du dernier achat..



Un client actif qui n’a pas changé son mot de passe depuis plus de 12 mois ne bénéficie pas de de la “sensibilisation”.

&nbsp;

C’est vraiment juste une excuse marketing..

votre avatar

Il y&nbsp; a peut-être une confusion de la part de ceux qui on dit avoir reçu le message alors qu’ils utilisent un mail spécifique pour LDLC.



Perso j’ai reçu un mail de leur part le 14 décembre, proche mais différent de celui en copie dans l’article (il ne dit pas que mon mail a été trouvé sur une liste) :

—————————————————————————

Bonjour XXXXXXX XXXXXXXXX 




                                   Chez LDLC, la protection de vos


données et la sécurité de vos informations personnelles sont une

priorité, c’est pourquoi nous avons mis en place une désactivation des

mots de passe des comptes inutilisés depuis plus d’un an. 




                                   Pour accéder de nouveau à votre


compte, il vous suffit d’enregistrer un nouveau mot de passe. Pour cela : 



                                    - Cliquez sur la partie « Mon Compte » en haut à droite de toutes nos pages.     


- Cliquez sur le lien « mot de passe oublié » au-dessus du bouton « Connexion ».     


- Suivez les instructions pour créer un nouveau mot de passe.     







                                   Nous vous recommandons de choisir un     


mot de passe spécifique à votre compte LDLC, que vous n’aurez encore


jamais utilisé sur d’autres sites. 




                                   Nous vous remercions pour votre


compréhension et vous prions de bien vouloir nous excuser pour ce

désagrément. 




                                   À très bientôt sur notre site,     


                                   L'équipe LDLC     


                                ------------------------------------------------------------------------------------
votre avatar

TOUS les sites devraient faire ceci ((genre 5 ans d”inactivité=supprimé)

p.c.q. : y-a des sites dont je me NE souviens plus* y avoir mit les pieds

et pourtant j”y suis, tjrs., comptabilisé comme “client”…pff !!!

(après c’est facile d’annoncer fièrement “…nous avons 300 millions de clients” ! <img data-src=" />



* tellement longtemps

votre avatar

Toutes les données datant de 1 ans et plus peuvent être supprimées, légalement. Même si personne le fait, cela peut se faire légalement.

votre avatar

Commande passée chez eux en début d’année et quand même reçu le dit mail…

votre avatar

On va creuser ça, mais ça conforterai l’idée de deux mails différents, dont un qui a été envoyé à de vieux comptes. Mais bon ce n’est pas le retour qu’on a eu de la part de LDLC… on va relancer.&nbsp;

votre avatar







Monmon34 a écrit :



Toutes les données datant de 1 ans et plus peuvent être supprimées, légalement. Même si personne le fait, cela peut se faire légalement.





Avec une garantie de 2 ans, il faut espérer qu’ils ne purgent pas la base des bons de commande au bout d’un an, sinon ça va être compliqué !


votre avatar

Certes, LDLC doit surement garder sans limite les données, mais légalement LDLC pourrait, en théorie, supprimer celles datant de plus d’un an.

votre avatar







chatbot a écrit :



j’ai commandé début octobre et j’ai reçu le mail…





Fin mars pour ma part…


votre avatar

Supprimer un compte, c’est tout à fait possible, suffit de les (pas que LDLC, tous les sites en général) harceler.

https://www.cnil.fr/fr/modeles/courrier

votre avatar

c’est pour ça que j’ai dit “5 ans” !

(y-a de la marge) <img data-src=" />

votre avatar

Sauf erreur de ma part, il y a même une recommandation (obligation? je sais plus) de la CNIL de supprimer ou archiver les comptes inactifs après un certain délai.

votre avatar

En passant, je trouve ça bien que les sites inutilisés pendant 1 ans virent les mots de passe. Je trouve même qu’ils devraient obligatoirement virer toutes les informations au bout d’un moment mais bon… Si la seule contrepartie c’est qu’ils envoient un mail de relance pour signaler qu’ils existent, perso ça me va.

votre avatar

Rien recu … mais mon compte en fonctionnait plus. J’ai du passer par “oubli du mot de passe” …

Je comprends mieux.

votre avatar

Ce serait conforme à ce que demande la CNIL !

votre avatar

Pour ma part: j’ai reçu l’email alors que j’ai passé commande en 2017. Le service client m’a tenu un discours peu cohérent, et je suis loin d’être le seul visiblement. J’ai pourtant demandé explicitement si des données liées à mon compte avaient fuité chez LDLC. À la lecture de cet article, je suis convaincu que c’est le cas, et que leur réponse négative est un mensonge.

votre avatar

jolie coup marketing de rappeler aux clients inactifs de faire les courses pour noël chez LDLC.&nbsp;&nbsp;<img data-src=" />

votre avatar

C’est clair, LDLC veut acheter ses concurrents materiel.net alors il faut des sous !!!

Mon compte est actif et le password a été reseté.

Quelle technique nauséabonde.

Le password c’est une donnée à moi, pas touche !!



Ils feraient mieux de se payer un SAV plutôt… mais pas avec mes sous. <img data-src=" />

LDLC bof quoi <img data-src=" />

votre avatar







nick_t a écrit :



C’est clair, LDLC veut acheter ses concurrents materiel.net alors il faut des sous !!!





C’est fait depuis un ans et demi déjà, ça.


Mots de passe désactivés chez LDLC : réactivation de vieux comptes plutôt que faille de sécurité

  • Un email alarmiste, mais pas de faille

  • Un principe de précaution qui ne concerne que de vieux comptes

Fermer