Le revendeur envoie des emails à ses clients (dont nous avons obtenu une copie) pour leur expliquer qu'il a été informé « d'une tentative de récupération frauduleuse de données via les messageries mail qui concerne 140 enseignes dont Boulanger », sans plus de détails.
Le compte Twitter confirme qu'il s'agit bien d'une demande émanant de ses services. Sans préciser si le ou les pirates sont arrivés à leurs fins, l'enseigne demande donc à ses clients de changer leur mot de passe « par mesure de précaution », aussi bien sur leur boîte email que leur compte client Boulanger.
Elle ajoute par contre que « ceci ne concerne pas vos données bancaires ». Nous tenterons d'en savoir plus assez rapidement.
Commentaires (18)
#1
Quelles sont les autres enseignes ?
" />, on a tenté de me prendre mon compte Spotify la nuit d’avant…
" />
Je confirme que le mot de passe et adresse mail ont fuité !
Par négligence
Je me demande si le mot de passe était chiffré
#2
Je viens de recevoir le mail, j’avais complètement oublié que j’avais un compte Boulanger.
Quant au mot de passe, je ne le connais même pas.
Par contre, pourquoi ce conseil de changer celui de la boite mail ?
Question de pure forme:
Je comprends que Boulanger suggère ainsi que des personnes utiliseraient le même mot-de-passe plusieurs fois…
#3
Bonjour,
" />
@Marcellusio: Je n’ai pas tout compris de ton commentaire,
Tu affirme “on a tenté de me prendre mon compte Spotify”, comment le sais-tu?
Et est-ce que tu utilisais le même mdp pour boulanger & spotify?
Et tu te demandes si le mot de passe était chiffré, (j’imagine que tu parles de ton mdp
qui serait stocké chiffré (ou pas) dans les Bases de données chez boulanger) donc tu penses
que boulanger se serait fait volé ses bases de données?
Enfin, tu confirmes que MDP et @ mail auraient effectivement fuités, tu te bases sur quoi?
En tout cas, cette affaire me laisse perplexe
#4
Oui le mdp etait le même chez boulanger et Spotify (honte à moi)
J’ai eu un mail dans la à 2h00 le 27 m’informant que mon adresse mail avait changé pour mon compte spotify.
Cette nouvelle adresse était une Yopmail.
Dès que j’ai vu cette information, je me suis empressé d’aller sur l’adresse yopmail en question pour changer mon adresse et mon mdp de mon compte Spotify.
oui je parlais de chiffrement du mot de passe dans la base de donnée de Boulanger.
Si ca se trouve j’ai fait le lien avec Boulanger alors qu’il n’en n’est rien, tu as raison.
#5
Tes doutes envers un piratage boulanger me semble justifié, j’aurais eu les mêmes.
D’autant que ce qui t’es arrivé peut faire penser à un vol de BDD, après, les MPD étaient
peut-être juste hashé avec un algo comme du MD5, si ton mdp n’était pas très fort, voire pire,
un mot du dictionnaire, un attaquant a juste a Googlé le hash pour trouvé son équivalent en clair.
Cette théorie est d’autant plus valable si tu utilisais une addresse fourni par un géant comme Google
(gmail) par exemple, car, je doute que ce soit eux qui ont été piraté ^^
Ca ne mange pas de pain, mais tu peux toujours passé ton adresse mail sur le site : https://haveibeenpwned.com/, tu peux faire des recherches sur ce service, c’est un site sérieux,
pas un 2eme moyen de te faire avoir :p
Enfin, tu reconnais ton erreur d’utiliser un même mdp sur 2 sites différents et c’est sûr c’est pas top, mais a moins que les mdp aient fuité par une campagne de phishing, mais j’en doute, dans cette situation, t’y es pour rien ;)
#6
La bonne pratique n’est pas de chiffrer les mots de passe mais de les saler et les hacher. cf: le blog d’Aeris22
#7
Tu joues sur les mots ^^ en plus c’est pas vrai !
“Le mot de passe ne doit jamais être stocké en clair. Lorsque
l’authentification a lieu sur un serveur distant, et dans les autres cas
si cela est techniquement faisable, le mot de passe doit être
transformé au moyen d’une fonction cryptographique non-réversible et
sûre, intégrant l’utilisation d’un sel ou d’une clé.”
https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Après, je suis d’accord pour dire que du sel et du poivre c’est le plus commun et ça évite d’avoir à gérer l’usage d’une clé
#8
Alors en fait, il voulait dire que le hachage n’est pas le chiffrement.
C’est expliqué ici :
https://blog.developpez.com/sqlpro/p12496/langage-sql-norme/hachage-nest-pas-cry…
En gros, le hachage n’est pas réversible.
Les mots de passe ne sont pas chiffrés mais hachés (et salés), sachant qu’ils ne doivent pas pouvoir être décryptés - on ne doit pas pouvoir les repasser “en clair”.
#9
La gestion des compte chez boulanger semble merdique.
Du jour au lendemain j’ai mon compte qui a changé de nom prénom, “ marie paul” , avec la meme adresse email, j’avais meme le numéro de portable de la personne, c’est n’importe quoi….. et ca date pas de ce problème ca fait un moment.
#10
J’ai reçu aussi le message ce matin… depuis que j’utilise un coffre fort (et que j’ai changé tous les mdp non uniques), je suis plus zen quand ce genre de chose arrive ! Et cela me conforte dans l’idée, que hormis quand c’est strictement nécessaire pour moi, ne jamais mettre la CB dans un compte en ligne…
#11
Bonne lecture les amis, la source de cette trouvaille est ici : https://www.zataz.com/francais-vendus-boutique-du-black-market/
#12
Alors c’est ok pour moi ^^ d’ailleurs, dans ton lien, il y a un mot : “cryptage” qui me dérange :p
On pourrait continuer comme ça toute la journée ^^
et pis, si on y pense, je peux très générer un bi-clef rsa, jeter la clé privé, chiffrer à l’aide la clé publique, et pour identifier les utilisateurs, je chiffre le mdp soumis dans le formulaire par l’utilisateur, puis je compare le résultat avec ce que j’ai en base. Résultat: bah c’est plus réversible ^^
Ce que je veux dire, c’est qu’il n’y a pas d’obligation d’utiliser des fonctions de hashage, juste un mécanisme cryptographique non réversible :p
#13
#14
Ce qui est inquiétant c’est qu’il n’y a QUE Boulanger qui averti ses utilisateurs alors que les 139 autres enseignes sont muettes pour le moment.
#15
Désolé, je ne voulais pas vous lancer dans les discutions de vocabulaire !
" />
#16
Y’a pas de mot de passe à Yopmail, ce sont des adresses poubelles qui sont normalement à usage unique.
" />
Il suffit juste d’avoir l’adresse mail yopmail pour y avoir accès (tout le monde).
edit : grillé… après 6 min…
#17
Je ne félicite pas Boulanger pour leur procédure de changement de mot de passe!
On reçoit un joli email contenant en clair Nom, prénom, adresse postale et N° de téléphone.
Bref si le compte est piraté c’est la double peine!
#18
I have been pwned pour la première fois sur mon adresse mail qui a 20 ans, que d’émotions ! Et pourtant boulanger ne m’a pas envoyé de mail.
" />