Hier, nous indiquions que l'enseigne envoyait un email à ses clients afin de les inviter à changer leur mot de passe. Contacté par nos soins, le revendeur s'explique. Le 23 février, il apprenait « qu’une boutique du black market venait de mettre en vente les données clients de plus de 500 000 Français », en lien avec 140 enseignes, dont Boulanger.
Dans le même temps, « des déclaratifs clients sur notre boite CIL ([email protected]), coordonnés avec nos services de sécurité informatique et nos services de fraudes, ont permis de constater des comportements anormaux sur des commandes de quelques comptes boulanger.com ».
« Il ne s’agit pas d’un piratage ou d’une faille des systèmes de sécurité du site des enseignes », affirme Boulanger. « Ces données ont été obtenues de façon malveillante principalement par des campagnes de phishing [...] C’est à la suite de ce hameçonnage que les fraudeurs, par croisement de données et de combinaisons, ont probablement réussi à établir une liste de clients par enseigne, comprenant, les noms, prénoms, adresses mail et mots de passe », nous explique le revendeur.
Une cinquantaine de clients seraient ainsi concernés. Néanmoins, et par mesure de précaution, une vaste campagne de réinitialisation des mots de passe à été mise en place. Dans tous les cas, « il s’agit d’usurpation d’identité, sans aucun piratage des données bancaires (les données bancaires des clients de Boulanger ne sont pas enregistrées) ».
Commentaires (11)
#1
Une cinquantaine de clients seraient ainsi concernés. Néanmoins, et par mesure de précaution, une vaste campagne de réinitialisation des mots de passe à été mise en place
Par mesure de précaution pour Boulanger, pas pour les clients: ça évitera à la boite d’avoir des comptes à rendre en cas de nouvel évènement.
Demander à tous les clients de changer de mot de passe pour 50 comptes compromis par phishing (donc rien à voir avec Boulanger), c’est vraiment faire chier le monde.
#2
Non, c’est ce que l’on appelle de la sécurité élémentaire. Rien ne dit que la cinquantaine contient vraiment tous les comptes fuités, vu que la liste contenait 500k données personnelles de 150 boutiques. il est même très probable que certains soient passés au travers sans le vouloir.
Pour le coup, la réaction est même une des meilleures possibles : fuite détectée ? On réinitialise tous les MDP, pour éviter que des petits malins se connectent. Surtout qu’apparemment, certains comptes ont été altérés, c’est la meilleure chose à faire. Ce que tu vois comme “faire chier le monde”, en informatique on appelle ça “la sécurité”. Et c’est bien dommage que cette dernière soit de moins en moins la priorité…
#3
lol.
la sécu c’est d’activer le 2FA.
pas de demander à tous ses clients de ressaisir le même pass ou d’incrémenter le chiffre à la fin. ^^
#4
Je pense que cet article te montrera mieux que moi en quoi non, ce n’est pas une solution.
Et si les utilisateurs font ce que tu dis, ce n’est pas de la faute du site. S’ils ne sont pas capables d’appréhender le principe d’un mot de passe, le 2FA laisse tomber, ils n’y comprendront rien…
#5
ce n’est pas aux utilisateurs de gérer la sécurité, mais au site.
tu ne peux raisonnablement pas demander à toute la population de savoir gérer efficacement une génération, un stockage, et une utilisation optimale des mots de passe. les gens vont au plus simple.
Le 2FA est une solution, pas LA solution effectivement, mais “les gens” le gèrent déjà correctement dès qu’ils font une transaction bancaire. Entre ça et gérer une base de mots de passe sécurisée, accessible sur plusieurs terminaux, et user-friendly, il y a un monde.
Ton article est signé de l’ancien CSO de OneID, boite qui vend des solutions d’authentification aux entreprises, y’a mieux niveau objectivité.
Bref, le fait est que Boulanger va continuer de demander à tous ses clients de changer de mots de passe dès qu’une liste contenant au moins un mail client se retrouvera leakée sur le net.
on n’a pas fini de rire, et les clients n’ont pas fini de changer de mot de passe (ou pas).
#6
Coïncidence ?
J’ai reçu un email ce matin de Oculus me disant avoir trouvé une correspondance entre mon mdp et un autre site (non cité). Mais que rien de prouve que mon compte est été piraté. Et tout le touti quanti pour changer mon mdp, des conseils pour que ça ne se reproduise pas, etc.
P.S. : si NX veut une copie du mail, je suis dispo 😉
#7
Au moins Boulanger prend ça au sérieux. Certains concurrents devraient s’en inspirer…
#8
c’est déjà autre chose que de réinitialiser d’office les mots de passe de tous les clients et de les laisser se débrouiller avec ça, voire carrément, comme l’indique la news d’hier, de leur conseiller aussi de changer leur mot de passe de boite mail (tant qu’à faire, pourquoi pas la serrure de la porte d’entrée?).
#9
#10
je soupçonne les boites de faire de la veille sur des sites comme haveibeenpwned qui proposent des API pour faire de la recherche dans leur base de mots de passe.