Cyberattaque Infomaniak : a priori pas de fuite, mais changez quand même de mot de passe

Le 02 septembre à 16h28

Le 02 septembre à 16h28

Commentaires (43)

votre avatar
Je n’ai rien compris à ce mail : ils affirment avoir contré l’attaque et que rien n’a fuité et ne disent pas vraiment ce que je dois faire à part changer mon mot de passe … qui n’aurait pas fuité (et son hash non plus).

Ce mail n’est vraiment pas clair.
votre avatar
Je pense qu'ils agissent préventivement. « On est ciblés donc protégez votre cul au cas où ».
Et puis ils peuvent pas dire « on est attaqués mais ils n'ont rien pris », ça fait trop flambeur, donc ils donnent un petit conseil pour faire passer le reste ;)
votre avatar
Ils affirment que jusqu'à présent rien ne prouve que des données aient été compromises et que la situation est suivie sérieusement, « par précaution » il vaut mieux changer de mot de passe. Merci de votre compréhension.

Résumé en 3 lignes, c'est peut-être plus clair ?
votre avatar
Pareil, c'est assez bizarre mais j'ai modifié le mot de passe au cas où.
De toute façon, il y a la double authentification d'activée.
votre avatar
Hum.... pas encore reçu de mail....

N.B. Moi aussi, j'ai finalement recu le mail dans la soiréé. Merci a l'équipe pour ca réactivité! On a été avertis plus vite que par infomaniak :yes:
votre avatar
Idem.
votre avatar
C'est vrai que c'est étrange.
Des attaques il y en a plusieurs par jour qui échouent, on ne communique pas à chaque fois...
Pas très rassurant au final je trouve.
votre avatar
Je n'ai pour ma part pas reçu de mail d'avertissement. J'ai changé mon mot de passe (qui datait de plus d'un an)

NB: Mail identique finalement reçu dans la soirée.
votre avatar
Pour ceux qui trouve étrange la demande d'Infomaniak, rappelez vous que vous êtes, à priori, la crème de la crème des français en IT.

Ne connaitriez vous pas quelques personnes qui ont le même mot de passe partout, pour tout ?

Perso, j'en connais, hélas, bien trop à mon goût.
Outre le côté suspicieux, c'est aussi un petit message pour dire "pensez à ne pas avoir le même mot de passe chez nous qu'ailleurs".

Si les données ont fuitées ça va se savoir rapidos de toute manière, donc aucun intérêt pour eux de le cacher.
D'autant plus qu'une déclaration CNIL est obligatoire sinon la douille pour faire bobo au CA de la boite.
votre avatar
Il y a l’équivalent de la CNIL en suisse , qui surveille également ce genre de communications ?
votre avatar
Probablement comme ils ont une loi proche du RGPD, mais comme ils ont des clients dans l'UE, ils doivent respecter le RGPD pour ceux-ci.
votre avatar
Infomaniak avait déjà fait de la conformité RGPD son cheval de bataille et un argument commercial, avant l'arrivée de la nLPD Suisse.
votre avatar
Pas encore reçu la comm', mais mots de passe changés du compte principal et de toutes les boîtes mail dans le doute. De toute façon, le MFA est actif.
votre avatar
Un point m'a particulièrement agacé : la proposition d'un lien dans l'e-mail pour changer le mot de passe ! C'est typiquement le genre de pratique à bannir puisque c'est justement ce qui est utilisé pour les tentatives de phising ! :censored:
votre avatar
Bien vu ! Et ce qui serait cocasse, c'est ce conseil énumérer dans "Découvrer tous nos conseils et des ..." du mail.
Malheureusement, je ne peux pas vérifier.
votre avatar
Dans mon énervement j'avais effectivement raté ces précieux conseils de sécurité, dont voici le passage sur les liens dans les mails de phishing :
3. Vérifiez les liens sur lesquels vous cliquez
Ne cliquez jamais sur des liens et n’ouvrez jamais des pièces jointes en cas de doute. Si le message concerne Infomaniak, assurez-vous que l’adresse de la page de destination dans votre navigateur contient bien le domaine infomaniak.com avant de cliquer sur un lien.
Clairement, ça ne va pas contribuer à redorer le blason d'Infomaniak :cartonrouge:
votre avatar
Je comprends le reproche. Cela-dit, en tant qu'utilisateur et non-professionnel du web, j'imagine qu'il y a plusieurs façons de concevoir un mail et de voir les choses. Perso, il y a souvent le cas où je suis obligé de cliquer dans un lien du mail (ex: la confirmation d'une adresse mail lors d'une inscription sur un site web). J'essaie de m'identifier le plus possible directement sur le site que je connais pour ne pas risquer d'erreur, mais je trouve que l'extrait que vous citez est cohérent : il appelle à la vigilance même s'il n'interdit pas de cliquer sur un lien du mail.

Pour aller dans votre sens, mon avis sur infomaniak est que leur politique de communication se veut grand public mais parfois je me suis trouvé perdu dans des approches techniques que je ne maitrise pas (je suis utilisateur de services web et très loin de maitriser la technique). Par ex, j'étais abonné à leur service de sauvegarde « Swiss Backup » et un jour ils m'ont informé qu'ils changeaient d'infrastructure, il y avait des choses à faire pour conserver ses sauvegardes, je ne m'en suis pas occupé et je n'ai pas pris le temps de prendre contact avec le service client, j'ai laissé tombé. C'est un peu le défaut de Infomaniak à mon avis : concevoir leurs services et en parler comme si leurs services conviennent à un large public, et dans le même temps, avoir une réalité un peu plus destinée à des professionnels. OVH, j'ai eu une expérience pire, ils laissent le client en errance quand un service n'est plus suffisamment maintenu (je ne sais pas si c'est le cas encore aujourd'hui mais la communication, c'est pas le point fort d'OVH devenu OVHcloud).
votre avatar
Mail reçu vers 16h45 et à nouveau à 21h, ça semble exactement le même...
votre avatar
Pareil, 15h29 et 21h27...
votre avatar
J'espère que vous re changez vos mots de passe à chaque fois :D
votre avatar
En cliquant sur le lien :windu:

N'empêche je viens d'avoir un spam pour une soit disante transaction de 2800€ sur Amazon... tombé sur l'alias de Boulanger.
Vive infomaniak (et autre) qui permettent d'avoir des alias. C'est plus facile de se débarrasser de l'adresse fautive.
votre avatar
Coucou,
J'avais lu il y a quelques dans des commentaires sur Next, des sociétés qui proposent des adresses avec alias et, facile à gérer dans des gestionnaires de mots de passe (dont keepass).
Je ne retrouve plus cette information, mais je suis en recherche d'informations à ce sujet :)
votre avatar
Simple Login, ou Proton Pass. Simple Login a été racheté par Proton et intégré à Proton Pass. Mais il est possible de prendre juste un abo Simple Login. Ou bien avec un abonnement Proton.
votre avatar
A noter que l'offre gratuite de ProtonPass permet d'avoir déjà 10 alias. Avec un peu d'organisation c'est déjà bien.

Alias.shopping
Alias.amis
Alias.famille
Alias.pro
Alias.loisirs
Alias.vacances
....

Il y aussi DuckDuckGo qui propose un service d'alias gratuit. J'ai testé par curiosité avec un alias mais j'ai pas poussé plus loin.
votre avatar
Firefox relay aussi que je trouve pratique
votre avatar
Merci @aware2 et @Ey,

Les 2 solutions sont intéressantes. Après, parfois Mozilla arrête certains produits... 😅

Vous avez des soucis avec l'une ou l'autre des solutions ? 🙂

L'avantage de Mozilla Relay serait aussi pour le numéro de téléphone.
votre avatar
@Xandr0s
Aucun soucis avec Simple Login. L'avantage est que tu peux connecter un/des domaine(s) personnalisé(s). Si un jour Simple Login me saoule, je change de crémerie et garde mes alias.

Sur Mozilla relay, l'alias téléphonique n'est disponible qu'au USA/Canada.
votre avatar
Merci pour cette précision. Qui est effectivement intéressante pour le nom de domaine. C'est effectivement important.

Pour le numéro de téléphone, ça serait intéressant partout :).

Grâce à vous, j'ai aussi trouvé ''addy.io''.

Tout cela va demander de la comparaison :)

Une liste de services : https://awesome-privacy.xyz/communication/mail-forwarding

Allez, Next, un sujet ?! 😁
votre avatar
Quand j'ai décidé de mettre en place des alias, j'hésitais entre Proton Pass (je suis déjà abonné à proton mail) et Firefox Relay, j'ai prix relay car sur Proton le nom du site est compris dans l'alias (exemple amazon.bulblight428@passinbox.com), sur relay les alias sont complètement random sauf le domaine @mozmail.com.

ça a complètement changé ma façon d'utiliser le web, je ne met plus 1 mois avant de me décider si je créer un compte sur un site, puis sur quel mail je le met etc. Je crée le compte dans la minute en quelques clics sur tous les site dès qu'il y a un intérêt même minime.

Après oui, je suis l'actualité de Mozilla, je ne pense pas être a risque mais on sait jamais :/
Si jamais il y a un soucis, il devrait y avoir du temps pour faire le changement et je changerait tous mes mail, ça sera juste chiant mais je commence à avoir l'habitude 🤷‍♂️
votre avatar
Même encore aujourd'hui, il y ale nom du service dans l'alias ?
J'avais l'impression que non : https://proton.me/fr/pass/aliases
votre avatar
Ben d'après ton lien on voit bien dans les alias en exemple "spotify" ou "netflix" après c'est pas non plus un gros problème mais je préfère le fait que ça soit random.

EDIT: oui comme le dit @aware2 tu peux mettre un truc random que tu tape toi même en prefixe et préciser dans les "notes" de l'alias ça correspond à quel site.

Après simple login, j'ai pas essayé, ça me semble pareil que relay avec l'option de mettre son propre nom de domaine, j'aurais sans doute choisi ça si je m'était plus renseigné ^^
votre avatar
Sur Proton / Simple Login, tu es complètement libre de mettre l'alias que tu veux. Peut être qu'en passant avec l'extension c'est le cas (je crée toujours manuellement mes alias) mais c'est tout à fait possible de mettre un nom random.
votre avatar
Merci à vous deux ! Au moins, je sais que je vais pouvoir me lancer très rapidement et remplacer mes mails pour (presque) chaque service.
votre avatar
DuckDuckGo propose des alias illimités.
Actuellement, ils sont sous cette forme : xxxx-yyyyy-zzzzz@duck.com
votre avatar
DuckDuckGo font ça à quel prix ?
votre avatar
Gratuit, voir ici : https://duckduckgo.com/duckduckgo-help-pages/email-protection/duck-addresses
votre avatar
Nos données personnelles en Berne, eux ils ont sécurisés les accès des employés ?
votre avatar
Quand vous gérez des risques, par exemple en sécurité de systèmes d'information, il faut apprendre à quitter les confortables absolues certitudes.

Quand vous détectez une attaque mais ne disposez pas de trace d'accès, pouvez-vous garantir cette absence d'accès ?

Il est logique qu'Infomaniak ne prenne pas de risque, et cette communication ne porte pas à confusion sauf si on attend des garanties absolues.
Ils indiquent bien n'avoir rien détecté, et explique demander un changement de mot de passe pour ne prendre aucun risque.

Je ne sais pas ce qu'il faut aux éternels ergoteurs pour être satisfaits…
votre avatar
Ils ont quand-même eu un gros "coup de chaud" ils annoncent régénérer tous les certificats SSL.
Dans mon mail (reçu hier à 18h10), j'ai aussi ça (non présent dans la version publiée par Next) :

*"De plus, pour vous garantir le plus haut niveau de sécurité, nous allons générer automatiquement de nouveaux certificats SSL DV/EV (Sectigo):

Si vous utilisez vos certificats uniquement avec des services Infomaniak dans le même compte, nous prendrons tout en charge. Aucune action n’est requise de votre part.

Si vous utilisez un certificat Infomaniak à l’extérieur (par exemple sur un NAS Synology, un serveur local ou un autre compte Infomaniak), vous devrez télécharger et installer le nouveau certificat à la place de l’ancien (besoin d'aide ?). Les nouveaux certificats seront disponibles d'ici ce vendredi."*

Ils ont déjà refait mon Sectigo, et même le 29 août 2025 (c'est un indice).
votre avatar
Rien de surprenant. Faire une communication proactive comme celle-ci permet de maitriser sa communication (car tout fini par se savoir). Les investigations peuvent prendre beaucoup de temps, plusieurs jours/semaines selon le contexte. Donc suggérer de manière proactive le renouvellement des mots de passe, pour anticiper si l'investigation démontre une éventuellement compromission à terme, c'est pas du tout déconnant.
votre avatar
Toujours rien reçu, alors que c'est un abo payant à plusieurs organisations :-/ .
Je n'avais rien non plus dans les notifications du compte.
Quelqu'un a un lien vers une news/page infomaniak ou autre ?
votre avatar
Je l'ai reçue le 2 septembre à 21 heures. Bon, ça fait un peu loin maintenant pour dire que c'est un envoi par vague.

Tente un ticket au support pour dire que tu n'as pas eu l'info. Je n'ai pas trouvé non plus de comm dans le portail.
votre avatar
Réponse d'Infomaniak à l'instant.
Du coup, tout le monde ne semble pas concerné (je suis en Belgique, peut-être n'est-ce que des comptes FR qui sont concernés ?) :


Bonjour,

Merci pour votre message.

Effectivement, nos systèmes de sécurité ont détecté et immédiatement bloqué une tentative d’accès non autorisé contre notre infrastructure. Par souci de transparence, nous avons informé uniquement les comptes potentiellement concernés.

Nous n’avons pas publié de communiqué public, car il ne s’agit pas d’une faille généralisée, mais d’une mesure ciblée d’information auprès des clients concernés.

Vos services restent sécurisés, et nous vous recommandons simplement, comme bonne pratique générale, de maintenir des mots de passe robustes et d’activer la double authentification.

Nous restons bien entendu à votre disposition pour toute autre question.

Merci pour votre confiance. Nous restons à votre disposition.

Cyberattaque Infomaniak : a priori pas de fuite, mais changez quand même de mot de passe

Fermer