Connexion
Abonnez-vous

[MàJ] Rétropédalage chez Intermarché : « aucune fuite de données n’a été constatée »

Le 07 novembre à 11h00

MàJ le 7 novembre à 10h40 : Suite à la publication de ce brief, Intermarché nous apporte des précisions et affirme notamment qu’aucune fuite n’est à l’ordre du jour. Le brief a été mis à jour en conséquence.

La situation s’était presque calmée, mais ce n’était que pour mieux repartir. En moins de deux mois, la liste des enseignes victimes de fuites de données ne fait que s’allonger : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraiteRED by SFR et Meilleurtaux, Ornikar, Free (fixe et mobile). On en compte une de plus : Intermarché.

Intermarché alerte sur un « accès par un tiers non autorisé »

Dans un message envoyé à des clients (merci aux lecteurs qui nous l’ont transmis), l’entreprise les informe que leur « compte Intermarché a fait l'objet d'un accès par un tiers non autorisé. Celui-ci a pu accéder à vos données personnelles et pourrait les utiliser à des fins de fraude ou décagnottage de votre carte de fidélité, voire d'usurpation d'identité ». L’enseigne affirme que les « données bancaires ne sont pas concernées ».

Intermarché ne donne aucun détail sur les données dérobées…

Problème, l’enseigne ne donne pas le détail des données dérobées. On ne sait pas si les mots de passe – qu’on espère chiffrés et salés – sont dans le lot. D’autant que l’entreprise ajoute : « Afin de protéger vos données personnelles, nous avons mis en place une mesure de changement forcé de votre mot de passe ». En attendant de changer ce dernier, votre compte est bloqué.

Intermarché assure (et heureusement) mener « toutes les actions nécessaires afin de corriger la faille de sécurité et renforcer notre sécurité ». Bien sûr (c’est une obligation), la Commission nationale de l'informatique et des libertés (CNIL) a été informée de cet incident.

… et nous affirme finalement qu’il n‘y a eu « aucune fuite de données »

Contacté, le service presse d’Intermarché ne tient pas du tout le même discours : « Le site intermarche.fr a été victime d'une tentative de piratage lors du week-end du 2 et 3 novembre. Aucune fuite de données n'a été constatée suite à cette tentative ». Le message envoyé aux clients indique pour rappel que : « votre compte Intermarché a fait l'objet d'un accès par un tiers non autorisé. Celui-ci a pu accéder à vos données personnelles ».

Sur X, le compte officiel du groupe Les Mousquetaires (propriétaire des enseignes Intermarché) confirme l’erreur de communication et la réponse du service presse : « Contrairement à ce qui a pu être annoncé à certains clients par erreur, aucun tiers non autorisé n’a pu accéder aux données personnelles des clients ».

Réinitialisation des comptes ? Une « mesure de précaution »

Concernant la réinitialisation des comptes, Intermarché nous explique que, « par mesure de précaution, les comptes testés par les attaquants ont été bloqués et une communication a été envoyée afin d'inviter au changement de mot de passe. Cela fait partie des mesures de sécurité mises en place pour protéger les données de nos clients ».

Le 07 novembre à 11h00

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Il y a aussi eu une fuite de données chez les Missions locales (ou plutôt chez un prestataire, comme d'habitude)...
votre avatar
En attendant de changer ce dernier, votre compte est bloqué.
Soit ce ne sont que certains comptes qui sont concernés, soit c'est faux puisque j'ai pu me connecter avec le même mot de passe.
Et de mon coté, aucune information sur un éventuel piratage, sur leur site ou par mail.
votre avatar
Pluzun. Vais quand même changer mon mdp au cas où...
votre avatar
Idem ici.
votre avatar
Ça faisait longtemps ^^
Rien à voir avec Intermarché. Concernant la fuite de données chez LDLC de Mars 2024, j'ai reçu récemment mon 1er spam lié à cette fuite (alias unique).
votre avatar
Ah perso j'en ai reçu régulièrement à l'adresse LDLC et materiel.net.

D'ailleurs j'ai aussi reçu un mail de LDLC, visiblement authentique, m'annonçant la suppression de mon compte dans 30 jours. Visiblement, ils ont bien une suppression automatique.

Je laisse couler (vu que je n'achète que chez matnet), on verra bien :)
votre avatar
J’ai également une adresse mail qui a commencé à recevoir du spam en octobre, et qui a fuité uniquement chez LDLC (d’après HaveIBeenPwned).
votre avatar
Idem je commence à recevoir pas mal de spam à l'alias utilisé chez LDLC, alias que j'ai désactivé...
votre avatar
Comment vous "désactivez" un alias ?
Pour moi un alias d'email c'est [email protected], je vois pas comment on peut le désactiver...
votre avatar
C'est c'est du "plus addressing". Ce n'est pas totalement la même chose qu'un alias.

Le plus addressing (si supporté par ton presta mail), permet effectivement de personnalisé une adresse facilement, sans avoir besoin de configuration particulière. Le hic, c'est que le plus addressing est facilement contournable pour le spam, et sert plus, au final, comme filtre pour le classement automatique des mails.

Avec un alias, tu vas faire pointer "[email protected]" vers la même boite emails que "[email protected]". Derrière, ce sera la même boite e-mail. Mais cela nécessite de configurer au préalable la boite pour déclarer l'alias. L'avantage d'un alias, c'est qu'on ne peut pas remonter au véritable mail, et qu'on peut supprimer l'alias n'importe quand.
votre avatar
Pas du tout quelque chose qu'on peut faire avec les grands prestataires donc (gmail, outlook, etc.).
J'imagine qu'il faut passer par de l'auto-hébergement.
votre avatar
Le plus adressing peut être activé. C'est le cas sur Gmail par exemple.

Pour les alias à proprement parler, il faut, a minima, avoir un nom de domaine personnalisé. Sinon, effectivement, c'est quasi sur que ça ne passera pas.
votre avatar
Y'a des services qui existent pour aliaser n'importe quelle adresse mail. Genre SimpleLogin ou addy.io.
C'est utilisable gratuitement mais on doit vite être limité je pense.
votre avatar
Tu peux faire des alias avec outlook/hotmail.
J'en ai plusieurs, par contre j'ai pris soin de désactiver la possibilité de se logger sur le compte
avec les alias...
votre avatar
Merci pour le lien ! Je ne savais pas Microsoft le permettait :inpactitude:

Par contre, je ne comprends pas cette partie de votre message
j'ai pris soin de désactiver la possibilité de se logger sur le compte avec les alias...
Pouvez-vous préciser votre propos svp ?! 😊
votre avatar
Hello,
Pas de souci.
Simple, pour t'identifier sur le site outlook.com tu utilises ton adresse mail + mot de passe
genre [email protected] + Passw0rd
si tu as des alias, par défaut tu peux aussi d'identifier avec, en remplaçant ton mail par l'alias + même mot de passe que d'habitude, genre [email protected] + Passw0rd

En bloquant l'auth sur les alias, on peut pas de connecter à ton mail avec si l'alias se perd sur un leak.

en prime un article Next de 2014
https://next.ink/19853/91431-outlook-com-definissez-quels-alias-permettent-se-connecter/
votre avatar
Dans le cas de ce genre d'alias, je créé simplement une règle qui balance direct dans le dossier spam. Les autres alias en dur sont supprimés directs.
votre avatar
J'ai des domaines personnalisés, dont quelques-uns sont configurés sur Simple Login, système d'alias racheté par Proton en 2022, et compris dans leur forfait maintenant.
Un compte sur un site > un alias unique, qui me permet donc facilement de gérer en cas problème. Tu désactives en un clic l'alias, et tu changes ton mail sur le site en question.
votre avatar
La loi des séries...

Si au moins cela permettait aux DSI de prendre conscience de l'utilité de mettre des sous dans la sécurisation des données ! Mais non, "ça coûte cher", donc on externalise et on fait le minimum. Jusqu'au jour où !
votre avatar
Ben justement, jusqu'au jour où quoi en fait ? Parce que ça n'empêche pas l'entreprise de fonctionner et envoyer un e-mail d'excuses suffit visiblement, et c'est bien moins cher que de sécuriser "au max" sans forcément savoir jusqu'où aller et sans aucune garantie de réussite.

Je veux dire, comment tu veux expliquer ça à des décideurs, surtout dans des boîtes hors secteur informatique ? "Donnez-nous un montant non défini mais le plus possible d'argent pour faire diminuer d'autant plus la probabilité de passer un peu pour un con à un moment (mais finalement pas plus que les autres)" ? Les gars vont juste estimer combien ça leur coûterait de passer pour un con et donner peut-être la moitié en sécurité, et basta, de toute façon même s'ils donnaient le double ça n'empêchera pas forcément d'être piraté, donc à quoi bon ?

Moi je trouve ça très compliqué comme problématique de nos jours, en plus là y a pas de détails, on ne sait pas ce qu'ils avaient déjà fait ou non et qui n'a pas suffi.
votre avatar
Donner le double n'empêcherait pas forcément d'être piraté, c'est certain, mais ça va sans doute le complexifier suffisamment pour ne pas passer pour un con, alors que la concurrence se fait allumer dans la même période.

Ça peut aussi être utilisé dans ce sens-là, et du coup cela créera une compétition sur qui ne se fera pas trop allumer (publiquement), aura sûrement une meilleure confiance du consommateur. Et pour une fois, le consommateur sera gagnant.
votre avatar
Il n'y a pas que le risque de "passer pour un con", l'entreprise est juridiquement responsable de la protection des données personnelles qu'on lui a confiées, encore plus depuis le RGPD. Si la faille utilisée est jugée comme triviale par (CNIL ? ANSSI?) il y a un gros risque de se prendre une amende, plus une astreinte pour boucher le/les trous rapidement sous peine de s'en reprendre d'autres.
Et hélas les entreprises ont la "chance" que les actions de groupe soient compliquées à lancer sur ces sujets en France, sinon ça pourrait sûrement augmenter les pénalités encourues avec les dédommagements aux clients.

Après, tant que ça reste "théorique", je sais bien que beaucoup d'entreprises préfèrent malgré ça prioriser les projets ayant des retours plus concrets et rapides, jusqu'au jour où...
votre avatar
Ben comme tu le dis toi-même, le risque réel n'est pas gros et il y a eu suffisamment de cas pour le connaître. Le risque théorique n'a pas d'importance.
votre avatar
Jusqu'au jour où elles payent leurs sous investissements !

Et ce n'est pas difficile à chiffrer : la dépense est égale aux salaires du personnel qui n'est pas embauché pour faire correctement le travail de sécurisation (hors salaire c'est une dépense bien moindre).
Il suffit de regarder le backlog pour avoir un chiffre précis. C'est même le boulot de certaines personnes (chefs de projet, product manager ou autre anglicisme dont le travail est de définir l'équipe correcte pour mener à bien sa mission). Ainsi que le taux de tourne-ovaire.
votre avatar
Tourne-ovaire n'est plus utilisé de nos jours. Maintenant on dit tourne-couille.
votre avatar
C'est quoi "correctement" ? Où s'arrêter ? C'est loin d'être simple et ça va pourtant grandement influer sur la quantité de salaires à payer pour ce travail.

Et payer leurs sous-investissements c'est quoi ? la plupart du temps c'est envoyer un mail d'excuse et voilà. Ca reste léger comme inconvénient.
votre avatar
"C'est compliqué donc on fait pas"

C'est justement la logique de toutes les DSI qui se sont fait trouer ces dernières semaines :yes:

Je suis d'accord sur la seconde phrase. Vu qu'il n'y a pas de sanction (même les clients mécontents vont rester, parce que c'est pareil ailleurs), l'incident va se tasser et tout continuera comme avant.
votre avatar
J'ai dit "c'est compliqué à estimer", c'est toi qui ajoute de ton propre chef "donc on fait pas". Et dire que c'est la logique des DSI trouées, ça n'engage aussi que toi car personne ne peut savoir pour tous ce qu'ils ont fait ou pas fait.

Quand il y a piratage on part toujours du principe que rien n'a été fait alors que la plupart du temps il n'y a pas assez de détails communiqués pour le savoir, et même quand il y en a ils sont rarement vérifiables sauf à appartenir à la DSI en cause.
votre avatar
Aucune fuite de données n'a été constatée suite à cette tentative
Un choix de mots bien habile et à l'effet trompeur. On pourrait comprendre qu'il a été constaté qu'il y a pas eu de fuite, alors qu'ils disent qu'ils n'ont pas trouvé de fuite. L'abscence de preuve n'est pas la preuve de l'absence.
Ça me rappelle un jour la hiérarchie au boulot qui écrit « comme discuté avec les représentants du personnel, nous allons changer ceci ». On pourrait croire qu'il y a eu débat voire concertation, alors qu'en fait la dite discussion a été à un sens. Mais ils n'ont pas menti.
Toujours se méfier de la comm, les peuvent être tournés pour faire comprendre autre chose que ce qui est dit.
votre avatar
Tiens, Frandroid cite next et ajoute quelques précisions :
https://www.frandroid.com/culture-tech/2396112_cyberattaque-chez-intermarche-tout-comprendre-a-la-vraie-fausse-fuite-de-donnees-chez-le-geant-de-la-grande-distribution

Pour résumer, ils auraient détecté du forcing par credential stuffing, et reset les MDP pour les comptes accédés.

[MàJ] Rétropédalage chez Intermarché : « aucune fuite de données n’a été constatée »

  • Intermarché alerte sur un « accès par un tiers non autorisé »

  • Intermarché ne donne aucun détail sur les données dérobées…

  • … et nous affirme finalement qu’il n‘y a eu « aucune fuite de données »

  • Réinitialisation des comptes ? Une « mesure de précaution »

Fermer