Connexion
Abonnez-vous

Boulanger demande à ses clients de changer leur mot de passe

Boulanger demande à ses clients de changer leur mot de passe

Le 28 février 2018 à 09h44

Le revendeur envoie des emails à ses clients (dont nous avons obtenu une copie) pour leur expliquer qu'il a été informé « d'une tentative de récupération frauduleuse de données via les messageries mail qui concerne 140 enseignes dont Boulanger », sans plus de détails.

Le compte Twitter confirme qu'il s'agit bien d'une demande émanant de ses services. Sans préciser si le ou les pirates sont arrivés à leurs fins, l'enseigne demande donc à ses clients de changer leur mot de passe « par mesure de précaution », aussi bien sur leur boîte email que leur compte client Boulanger.

Elle ajoute par contre que « ceci ne concerne pas vos données bancaires ». Nous tenterons d'en savoir plus assez rapidement.

Le 28 février 2018 à 09h44

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Quelles sont les autres enseignes ?

Je confirme que le mot de passe et adresse mail ont fuité !

Par négligence <img data-src=" />, on a tenté de me prendre mon compte Spotify la nuit d’avant…

Je me demande si le mot de passe était chiffré&nbsp; <img data-src=" />

votre avatar

Je viens de recevoir le mail, j’avais complètement oublié que j’avais un compte Boulanger.

Quant au mot de passe, je ne le connais même pas.



Par contre, pourquoi ce conseil de changer celui de la boite mail ?



Question de pure forme:

Je comprends que Boulanger suggère ainsi que des personnes utiliseraient le même mot-de-passe plusieurs fois…

votre avatar

&nbsp;Bonjour,



@Marcellusio: Je n’ai pas tout compris de ton commentaire,



Tu affirme “on a tenté de me prendre mon compte Spotify”, comment le sais-tu?

Et est-ce que tu utilisais le même mdp pour boulanger & spotify?



Et tu te demandes si le mot de passe était chiffré, (j’imagine que tu parles de ton mdp

qui serait stocké&nbsp;chiffré (ou pas) dans les Bases de données chez boulanger) donc tu penses

que boulanger se serait fait volé ses bases de données?



Enfin, tu&nbsp;confirmes&nbsp;que&nbsp;MDP et @ mail&nbsp;auraient effectivement fuités, tu te&nbsp;bases sur quoi?

&nbsp;

En tout cas, cette affaire&nbsp;me laisse perplexe <img data-src=" />

votre avatar

Oui le mdp etait le même chez boulanger et Spotify (honte à moi)

J’ai eu un mail dans la à 2h00 le 27 m’informant que mon adresse mail avait changé pour mon compte spotify.

Cette nouvelle adresse était une Yopmail.

Dès que j’ai vu cette information, je me suis empressé d’aller sur l’adresse yopmail en question pour changer mon adresse et mon mdp de mon compte Spotify.



oui je parlais de chiffrement du mot de passe dans la base de donnée de Boulanger.



&nbsp;Si ca se trouve j’ai fait le lien avec Boulanger alors qu’il n’en n’est rien, tu as raison.



&nbsp;

votre avatar

Tes doutes envers un piratage boulanger me semble justifié, j’aurais eu les mêmes.



&nbsp;D’autant que ce qui t’es arrivé peut faire penser à un vol de BDD, après, les MPD étaient

peut-être juste hashé avec un algo comme du MD5, si ton mdp n’était pas très fort, voire pire,

un mot du dictionnaire, un attaquant a juste a Googlé le hash pour trouvé son équivalent en clair.



Cette théorie est d’autant plus valable si tu utilisais une addresse fourni par un géant comme Google

(gmail) par exemple, car, je doute que ce soit eux qui ont été piraté ^^



Ca ne mange pas de pain, mais tu peux toujours passé ton adresse mail sur le site : https://haveibeenpwned.com/, tu peux faire des recherches sur ce service, c’est un site sérieux,

pas un 2eme moyen de te faire avoir :p



Enfin, tu reconnais ton erreur d’utiliser un même mdp sur 2 sites différents et c’est sûr c’est pas top, mais a moins que les mdp aient fuité par une campagne de phishing, mais j’en doute, dans cette situation, t’y es pour rien ;)

votre avatar

La bonne pratique n’est pas de chiffrer les mots de passe mais de les saler et les hacher.&nbsp;cf: le blog d’Aeris22

votre avatar

Tu joues sur les mots ^^ en plus c’est pas vrai !



“Le mot de passe ne doit jamais être stocké en clair. Lorsque

l’authentification a lieu sur un serveur distant, et dans les autres cas

si cela est techniquement faisable, &nbsp;le mot de passe doit être

transformé au moyen d’une fonction cryptographique non-réversible et

sûre, intégrant l’utilisation d’un sel ou d’une clé.”



&nbsp;https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires



Après, je suis d’accord pour dire que du sel et du poivre c’est le plus commun et ça évite d’avoir à gérer l’usage d’une clé

votre avatar

Alors en fait, il voulait dire que le hachage n’est pas le chiffrement.



C’est expliqué ici :

https://blog.developpez.com/sqlpro/p12496/langage-sql-norme/hachage-nest-pas-cry…



En gros, le hachage n’est pas réversible.



Les mots de passe ne sont pas chiffrés mais hachés (et salés), sachant qu’ils ne doivent pas pouvoir être décryptés - on ne doit pas pouvoir les repasser “en clair”.

votre avatar

La gestion des compte chez boulanger semble merdique.



Du jour au lendemain j’ai mon compte qui a changé de nom prénom, “ marie paul” , avec la meme adresse email, j’avais meme le numéro de portable de la personne, c’est n’importe quoi….. et ca date pas de ce problème ca fait un moment.

votre avatar

J’ai reçu aussi le message ce matin… depuis que j’utilise un coffre fort (et que j’ai changé tous les mdp non uniques), je suis plus zen quand ce genre de chose arrive ! Et cela me conforte dans l’idée, que hormis quand c’est strictement nécessaire pour moi, ne jamais mettre la CB dans un compte en ligne…

votre avatar

Bonne lecture les amis, la source de cette trouvaille est ici :&nbsphttps://www.zataz.com/francais-vendus-boutique-du-black-market/

&nbsp;

votre avatar

Alors c’est ok pour moi ^^ d’ailleurs, dans ton lien, il y a un mot : “cryptage” qui me dérange :p

On pourrait continuer comme ça toute la journée ^^



et pis, si on y pense, je peux très générer un bi-clef rsa, jeter la clé privé, chiffrer à l’aide la clé publique, et pour identifier les utilisateurs, je chiffre le mdp soumis dans le formulaire par l’utilisateur, puis je compare le résultat avec ce que j’ai en base. Résultat: bah c’est plus réversible ^^



Ce que je veux dire, c’est qu’il n’y a pas d’obligation d’utiliser des fonctions de hashage, juste un mécanisme cryptographique non réversible :p

votre avatar







Marcellusio a écrit :



Oui le mdp etait le même chez boulanger et Spotify (honte à moi)

J’ai eu un mail dans la à 2h00 le 27 m’informant que mon adresse mail avait changé pour mon compte spotify.

Cette nouvelle adresse était une Yopmail.

Dès que j’ai vu cette information, je me suis empressé d’aller sur l’adresse yopmail en question pour changer mon adresse et mon mdp de mon compte Spotify.



oui je parlais de chiffrement du mot de passe dans la base de donnée de Boulanger.



&nbsp;Si ca se trouve j’ai fait le lien avec Boulanger alors qu’il n’en n’est rien, tu as raison.



&nbsp;





Je crois que j’ai pas tout compris, comment as tu obtenu le mot de passe de la nouvelle adresse yopmail ?


votre avatar

Ce qui est inquiétant c’est qu’il n’y a QUE Boulanger qui averti ses utilisateurs alors que les 139 autres enseignes sont muettes pour le moment.

votre avatar

Désolé, je ne voulais pas vous lancer dans les discutions de vocabulaire ! <img data-src=" />









Winderly a écrit :



Je crois que j’ai pas tout compris, comment as tu obtenu le mot de passe de la nouvelle adresse yopmail ?





le principe de Yopmail c’est une adresse jetable mais tout le monde y a accès.

tu utilises par exemple [email protected] pour l’utilisation qui te convient mais tout le monde peux utiliser cette adresse.



Dans mon cas j’avais un message dans ma boite qui informait le changement de mail vers [email protected] donc je suis aller voir les messages présent et j’ai fais en sorte de retrouver mon compte.



Promis ! je n’utiliserai plus 2 fois le même mot de passe&nbsp; <img data-src=" />

&nbsp;


votre avatar

Y’a pas de mot de passe à Yopmail, ce sont des adresses poubelles qui sont normalement à usage unique.



Il suffit juste d’avoir l’adresse mail yopmail pour y avoir accès (tout le monde).



edit : grillé… après 6 min… <img data-src=" />

votre avatar

Je ne félicite pas Boulanger pour leur procédure de changement de mot de passe!

On reçoit un joli email contenant en clair Nom, prénom, adresse postale et N° de téléphone.



Bref si le compte est piraté c’est la double peine!

votre avatar

I have been pwned pour la première fois sur mon adresse mail qui a 20 ans, que d’émotions ! Et pourtant boulanger ne m’a pas envoyé de mail.<img data-src=" />

Boulanger demande à ses clients de changer leur mot de passe

Fermer