Ce matin, nous parlions de la fuite de données chez le Slip Français. Nous avons depuis de nouvelles informations, et notamment pu consulter un fichier de « démonstration » des données dérobées. La fuite concerne également des clients « désinscrits ». Contactée, et à défaut de nous apporter des précisions, l’entreprise nous explique que l’enquête « est en cours ». Elle s’engage néanmoins à « informer régulièrement » ses clients.
Dans une communication à ses clients, Le Slip Français reconnait avoir été victime d’un « acte de malveillance informatique » : « le 15 avril dernier nous avons eu connaissance que certaines données personnelles de nos clients ont malheureusement été volées par des hackeurs ».
« Vous êtes désinscrits », mais concernés quand même par la fuite
Pour d’autres clients, un email différent est envoyé. Il précise au début que : « Vous êtes désinscrits de nos bases de données mais nous avons malheureusement été victimes d’un acte de malveillance informatique que nous avons notifié à la CNIL ce jour et dans ce cadre, conformément à la loi, nous nous devons d’informer les personnes susceptibles d’être affectées par cet acte malveillant. Tel est l’objet de la présente communication ».
Voici une copie des deux emails reçus par des clients (à gauche ceux qui sont « désinscrits », à droite les autres) :
Dans les commentaires de notre brief, plusieurs lecteurs nous indiquent avoir reçu l’email indiquant avoir été « désinscrits de nos bases de données ». Sur les réseaux sociaux, aussi, des clients font part de leur étonnement et se demandent pourquoi ils sont dans la fuite de données.
Quelques retours que nous avons eu. « J'ai été client chez eux en 2018 et n'ai plus eu aucun contact avec cette marque depuis. Or depuis l'année dernière ils m'arrosent d'emails. Je leur ai signalé en début d'années que six ans plus tard il n'était pas normal qu'ils aient encore mes données ».
« J'avais demandé à ce que mon compte soit supprimé il y a plusieurs années de cela. Apparemment lorsqu'ils ont effectué la migration de leur site (en 2023 de souvenir) cela a réactivé tout plein de comptes y compris les souscriptions aux newsletters », ajoute un autre.
« Effectivement comme client j’ai modifié mon adresse mail depuis mes premières commandes et je reçois leur mail concernant leur hack sur ces deux adresses alors qu’elle n’apparaît plus dans mon profil », indique un troisième.
Plus de 1,5 million de clients touchés ?
Sur un forum spécialisé dans la publication de données dérobées, un certain ShopifyGUY publiait samedi 13 avril un message annonçant avoir « mis en ligne la base de données » du Slip Français, « que vous pouvez télécharger ». La fuite avait d'ailleurs dans la foulée été relayée sur Twitter/X par plusieurs observateurs du dark web et des forums de vente de données volées. Deux jours avant que l’entreprise n’identifie la fuite et quatre jours avant la communication aux clients.
« Il y a 1 506 395 emails, dont 696 144 informations complètes sur les clients : adresses email, noms, numéros de téléphone, adresses physiques et achats », précise le message sur le forum. Le pirate propose également un « échantillon » avec des données sur pas moins de 611 clients.
Nous avons interrogé l’entreprise sur le nombre de clients impactés, mais elle n’a pas souhaité s'étendre (sa réponse est disponible en fin d’article).
Un sample de 611 clients accessibles en ligne
Si la publication sur le forum n’est plus disponible depuis hier, le fichier « démo » peut malheureusement encore être téléchargé à l’heure actuelle. Il comporte plusieurs informations, notamment les noms, adresses, emails et numéros de téléphone. On y retrouve aussi des variables comme « email_marketing_consent », « tax_exemptions », « orders_count », etc.
Voici un exemple pour une entrée, où nous avons rajouté des « xxx » pour ne pas dévoiler de données personnelles :
Confirmation de la véracité des infos sur… le site du Slip Français
L’entreprise propose un suivi de livraison sur son site, nous avons tenté de voir ce qu’il en était avec plusieurs entrées du fichier sample. Il suffit en effet de rentrer une adresse email et un code postal pour consulter les commandes du client. D’un clic, on a également accès au suivi détaillé du transporteur.
Voici deux exemples issus du fichier de démonstration :
La (très vague) réponse du Slip Français
Contacté par nos soins, Le Slip Français nous répond par l’intermédiaire de Guillaume Gibault, fondateur de l'entreprise : « Comme indiqué par email à nos clients hier, nous avons été victimes d’un acte de malveillance informatique comme malheureusement beaucoup d’autres organisations ces dernières semaines. Nous prenons le sujet très au sérieux, la sécurité des données de nos clients est notre priorité ».
Nous demandons des précisions sur le nombre de clients concernés et pourquoi certains désinscrits sont par ailleurs affectés. Le responsable botte en touche : « Le travail d’analyse de nos partenaires experts en cybersécurité est en cours et nous ne pouvons pas vous partager plus d'éléments à ce stade ».
Guillaume Gibault nous confirme simplement qu’un « dépôt de plainte pour accès frauduleux dans un système de traitement automatisé de données a été déposé et un signalement a été fait à la CNIL ». « Toutes nos équipes restent mobilisées pour apporter leur concours aux autorités judiciaires qui suivent cet acte frauduleux », ajoute-t-il.
Il s’engage enfin avec sa société à « informer régulièrement [leurs] clients de l’évolution de la situation ».
Commentaires (30)
#1
Le RGPD va frapper très fort à mon avis :p
#1.1
Quand tu leur fait la remarque, ca les fait sourire... Alors je ne comprends pas... Toutes les semaines on a des actus du genre, ca met en péril leur société, mais ils n'en n'ont rien à faire visiblement. Ah si il sont heureux de te montrer leur beau Antivirus
Pour le Slip, on doit avoir en face de nous une PME d'une centaine de salariés qui a négligé son changement de CRM/ERP en récupérant des données d'anciens clients, qui doit avoir un budget serré pour son SI, comme la plupart des PME, donc c'est pas forcément fait dans les règles de l'art... Par contre, niveau communication, je ne trouve pas que ce soit mauvais, ils donnent ce qu'on leur à dit qu'ils pouvaient dire et en fonction du peu d'information qu'ils doivent avoir.
Historique des modifications :
Posté le 17/04/2024 à 16h34
Ca ne m'étonne pas plus que ca en fait. Quand je vois les prestataires de logiciels de gestion en tous genres qui utilisent le même mot de passe pour tous leurs clients, le même compte Admin, les mêmes mots de passe de BDD, qui font transiter les le tout en clair dans des échanges et qui te proposent encore des interfaces en FTP..
Quand tu leur fait la remarque, ca les fait sourire... Alors je ne comprends pas... Toutes les semaines on a des actus du genre, ca met en péril leur société, mais ils n'en n'ont rien à faire visiblement. A si il sont heureux de te montrer leur beau Antivirus
Pour le Slip, on doit avoir en face de nous une PME d'une centaine de salariés qui a négligé son changement de CRM/ERP en récupérant des données d'anciens clients, qui doit avoir un budget serré pour son SI, comme la plupart des PME, donc c'est pas forcément fait dans les règles de l'art... Par contre, niveau communication, je ne trouve pas que ce soit mauvais, ils donnent ce qu'on leur à dit qu'ils pouvaient dire et en fonction du peu d'information qu'ils doivent avoir.
#1.2
Note : Content que mon commentaire de ce matin ait été repris en sous-titre.
#1.3
Vivement la prochaine fuite (de données) pour que je puisse prendre ma revanche.
#1.4
#1.5
Sinon "data slipped out" ça a du sens en anglais justement, juste que le jeu de mot marche pas pour les anglophones (encore que Le Slip Français étant une marque, s'ils relayaient l'actu ils n'écriraient pas "The French Briefs", donc ça resterait compréhensible).
Mais je suis fair, le juge a décidé... Je l'aurai un jour, je l'aurai
#1.6
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Historique des modifications :
Posté le 18/04/2024 à 05h15
Et bien sur ce coup-là, t’as eu du ou bien de la chatte !
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
Posté le 18/04/2024 à 05h16
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
Posté le 18/04/2024 à 05h17
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h19
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h20
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h21
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h22
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (pas d'icône de chat ici ?? )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h24
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (yùq pas une seule icône de chat ici??, pourtant avec Internet... )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h25
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (y'a pas une seule icône de chat ici?? pourtant avec Internet... )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
Posté le 18/04/2024 à 05h25
Et bien sur ce coup-là, t’as eu du ou bien de la chatte ! (y'a pas une seule icône de chat ici?? pourtant avec Internet... )
En tout cas, je reconnais très régulièrement en Fred42 un lecteur toujours à la pointe, qui sait ce qu’il dit et le fait savoir, c.a.d sévèrement burné quoi ! (comme aurait dit Nanard des feu – regrettés – Guignols de l’info)
.
#1.7
Toute la comm' est ciblée vers le "pirate" qui a extrait les informations.
Pour le coup les enquêtes semblent soignées, il y en a qui se font rattraper
Mais pas de suites (ou tout du moins pas publiques) sur pourquoi les informations apparemment superflues sont stockées, ou comment elles ont mal été protégées.
Dommage d'ailleurs, car certaines fuites doivent être très croustillantes.
Je regrette que la CNIL n'ai pas une fonction de BEA avec audits post accidents rendus publics.
#2
Heureusement que ce sont que des slips et chaussettes.. (cela n’enlève rien à la gravité des erreurs commises..)
En voyant l’article sur la page d’accueil j’ai tout de suite pensé à Sebastien comme auteur 😁
#2.1
Pas besoin d'être devin : son nom et sa photo sont juste au dessus du titre de l'article.
#2.2
#2.3
Reste l'exception des broderies personnalisées, dont on voit un exemple dans l'article. En l’occurrence, un hacker pourrait exploiter un prénom demandé en broderie pour une attaque de type phishing SMS "stp c'est TRUC, c'est la galère aide moi je suis bloqué, envoie des sous". La capture ne semble toutefois pas préciser le texte qui a été demandé, mais je ne sais pas si ça a été masqué ou si ça n'est juste pas affiché.
Historique des modifications :
Posté le 17/04/2024 à 16h51
Oui on voit les commandes sur le suivi en ligne, ils devraient dans le contexte le bloquer aux non identifiés. Même si c'est pas trop problématique dans le cadre de la gamme de LSF, on sait à peu près à quoi s'attendre.
Reste l'exception des broderies personnalisées, dont on voit un exemple dans l'article. En l’occurrence, un hacker pourrait exploiter un prénom demandé en broderie pour une attaque de type phishing SMS "stp c'est TRUC, c'est la galère aide moi je suis bloqué envoi des sous. La capture ne semble toutefois pas préciser le texte qui a été demandé, mais je ne sais pas si ça a été masqué ou si ça n'est juste pas affiché.
#2.4
#3
Déjà, désinscrites ne signifie pas compte clôturé. On peut avoir un compte "actif" mais être désinscrit de toutes communications.
Ensuite, en tant qu'entreprise, le Slip Français se doit de conserver certains éléments, notamment tout ce qui à trait à la facturation pendant au moins 10 ans (c'est la loi). Que des informations comme les nom, prénom, adresse soient encore stockées n'est donc pas forcément étonnant. De même que le mail peut être utilisé pour répondre aux demandes d'accès aux données personnelles sans forcément avoir besoin de demander de pièces justificatives.
Donc même si certaines personnes n'ont pas eu de contact depuis 2018, si ces personnes avaient commandé sur le Slip Français, il est normal que le Slip Français ait encore des informations les concernant.
On peut bien sur s'interroger sur d'autres aspects, comme la minimisation des données, ou le fait que certains désinscrit se sont soudainement mis à recevoir de nouveau des sollicitations publicitaires, mais cela n'a rien à voir avec la fuite de données à proprement parler.
#3.1
Mais je suis d'accord, ca ne me choque pas qu'un compte soit passé en inactif après 3 ans mais reste en BDD. Après en effet, reste la question de la minimisation, et dans les bonnes pratiques il faudrait faire des revues de comptes tous les ans (automatique ou pas).
Historique des modifications :
Posté le 17/04/2024 à 17h37
Pour les factures, si ce n'est pas de l'archivage probatoire (en PDF par exemple), c'est stocké dans les entêtes de facture, pas besoin du compte client pour ressortir ce type de documents. Heureusement d'ailleurs, car une modification du compte client entre 2 éditions modifierait la facture
Mais je suis d'accord, ca ne me choque pas qu'un compte soit passé en inactif après 3 ans mais reste en BDD. Après en effet, reste la question de la minimisation, et dans les bonnes pratiques il faudrait faire des revues de compte tous les ans (automatique ou pas).
#3.2
On est d'accord ;) Mais pour répondre aux demandes d'accès imposées par le RGPD, c'est beaucoup plus simple pour l'entreprise de conserver le compte client que de ne conserver que les factures ;)
#3.3
Si ce n'est pas fait par réduction de coût, il ne faut pas s'étonner de se faire voler son unique base interne.
#3.4
Classiquement, on distingue 3 états de la donnée :
- en base active : les données sont encore utiles pour l'objectif fixé (par exemple, l'état d'une commande)
- archivage temporaire : les données ne sont plus utiles pour l'objectif fixé (par exemple, la commande est livrée depuis 1 mois). Toutefois, les données peuvent devoir être conservé pour la gestion des litiges, répondre à des obligations légales, etc.
- archivage définitif : il s'agit de données qui ne répondent plus à des enjeux légaux, contentieux, ... mais qui conservent une valeur "stratégique" pour l'entreprise. Depuis le RGPD, la conservation définitif de données à caractère personnelle est généralement impossible (je ne connais aucun cas où cela serait justifié, mais cela doit bien pouvoir se trouver).
Ces 3 états se distinguent par une accessibilité décroissante, mais absolument pas par une séparation physique du stockage (même si, une fois encore, cette séparation peut être mise en oeuvre).
#4
#5
#5.1
#5.2
%C3%89DOUARD A%C3%87ENDI%C3%92
#6
Je n'ai pas reçu de mail de leur part pour cette fuite.
Et par curiosité, quand je tente de me connecté à mon compte, j'ai ce message qui s'affiche sur leur site :
*E-mail ou mot de passe incorrect.
Nous venons de changer de site.
Si votre dernière commande date d’avant le 16 Octobre 2023, CLIQUEZ ICI pour recréer votre compte et retrouver vos commandes.
Sinon, veuillez réinitialiser votre mot de passe en cliquant sur mot de passe oublié.*
Cela signifierait-ils que lors de la migration de leur site, ils auraient supprimé mon compte ? Car mon MDP semble bon vu qu'il est enregistré dans mon gestionnaire de MDP.
#6.1
J'ai recu pour ma part le mail s'adressant au client sans compte (j'imagine que j'ai effectué mes commandes sur le nouveau site sans compte, directement avec paypal ?!)
#7
#7.1
#8
Visiblement ça ne l'était pas il y a quelques jours ?
J'en peux plus de lire cette phrase creuse (ou sa jumelle sur la vie privée)... Ils ont merdé, ils assument, mais qu'ils arrêtent de nous prendre pour des glands !
#8.1
Historique des modifications :
Posté le 18/04/2024 à 07h14
Odalys à fait une communication a ses client hier pour une fuite de donnée hier (17/04)... Il vaut franchement le détour dans le genre foutage de guele...
#9
Bilan : tout un tas de clients HS. Panique chez nos clients, qui appellent pour savoir ce qu'il se passe.
Notre réponse est standard : "on sait, on s'en occupe, on revient vers vous plus tard pour expliquer". C'est normal, l'urgence, c'est de réparer. Après, on communique et on explique.
Donc, je pense qu'il ne faut pas en vouloir au slip français de limiter sa comm à des banalités.
[pour nous, en l'espèce, le pb a été résolu environ 3H plus tard, sans dommage, ouf]
#10