Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

LDLC : deuxième « incident de cybersécurité » et fuite de données de l’année

Le 11 décembre 2024 à 07h54

La série noire pour les enseignes françaises continue et c’est au tour de LDLC d’annoncer être « victime d’une fuite de données clients ». Si on apprécie de voir un communiqué officiel (en plus de messages aux clients concernés), on regrette le peu de détails donnés, d’autant que c’est une habitude chez LDLC.

La marque ne donne en effet aucune précision sur les données dérobées, si ce n’est qu’aucune information « financière ou sensible des clients n’est concernée ». De leur côté, « les clients n’ont aucune action à réaliser et ils seront informés si leurs données sont concernées ».

Le communiqué parle du « Groupe LDLC », cela peut donc concerner la marque LDLC, mais également une des autres marques du groupe : Materiel.net, Top Achat, Rue du Commerce, Hardware.fr, l’armoire de bébé, actimac…

Enfin, « l’entreprise est en contact avec les autorités gouvernementales et les régulateurs compétents, notamment dans le cadre du RGPD ».

LDLC avait déjà été piraté en mars de cette année, mais cela ne concernait alors que des clients des boutiques physiques du Groupe. On remarque d’ailleurs que les deux communiqués de 2024 sont des quasi-clones.

LDLC avait aussi été piraté fin 2021.

Depuis la rentrée, les annonces se multiplient : BoulangerCulturaDiviaMobilitésTruffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraiteRED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Pointun client de Mediboard, Direct Assurance, Norauto

Le 11 décembre 2024 à 07h54

Commentaires (38)

votre avatar
A quelle moment on peut considérer qu'il y à un défaut flagrant de sécurisation ? une entreprise qui se fait piraté 3 fois en 3 ans à clairement un soucis pour moi.

Edit : Je viens de recevoir un email de Top Achat m'informant que mon nom, prénom,email et addresse avait fuités
votre avatar
Franchement, je serais pas aussi tranché : tu peux aussi être particulièrement attaqué.
Mais bon, d'un autre côté, les GAFAM sont probablement BIEN PLUS attaqués que LDLC en proportions, et donc il y a peut-être effectivement un problème du côté de leur SSI.
votre avatar
Quand tu fais de la croissance externe, tu hérites d'un certains nombre de systèmes. Le temps de tout rationaliser, que ce soit les softs de gestion, ceux de sécurité, le personnel, les services, les hébergements, etc... Ca prend quand même un peu de temps.

Si tu ajoutes à cela une large surface d'attaque avec de nombreuses boutiques physique et en ligne. Ca n'a rien de forcément déroutant.

Je ne dis pas qu'ils ne peuvent pas faire mieux ! Ils sont peut-être juste fautif. Mais ce qui me choquerait vraiment c'est de voir plusieurs fois le même type d'attaque passer. Il faudrait avoir plus d'informations pour juste dire qu'ils ont un vrai soucis de sécurisation je pense.
votre avatar
Mais quand tu compares à Hadopi qui te sanctionnait pour défaut de sécurisation de ta connexion, tu te dis qu'il vaut mieux être une entreprise et ne pas sécuriser tes données qu'un particulier qui a son petit fils qui a téléchargé 3 films depuis ta box
votre avatar
Oui, enfin, j'ai du mal à comparer.
Hadopi le but c'était de "faire peur" à ceux qui téléchargent illégalement pour freiner la pratique. Sur des millions d'avertissements, il y a dû avoir moins de 1000 condamnations de mémoire, ils n'ont pas du sanctionner grand monde pour défaut de sécurisation de box.
Je vois mal le rapport avec le fait de se faire attaquer informatiquement...
votre avatar
Le défaut de sécurisation est une qualification d'infraction pour les titulaires de connexion internet qui ont été utilisés pour des téléchargements illégaux par des tiers.
Il s'agit d'une infraction donc, pénalisable, qui qualifie non pas une action illégale mais une inaction / un manque de contrôle ou de moyen technique mis en œuvre pour contrôler et limiter l'usage de ses moyens informatiques par des tiers (tiers qualifiés de pirates informatique).
C'est exactement ce qui pourrait être reproché à des entreprises laxistes qui se font pirater les données de leurs client à répétition.
Pour les individus, le seul fait que des téléchargements de contenus protégés par le droit d'auteur ont eu lieu suffit à invoquer le défaut de sécurisation (même si les condamnations sont rares, la loi le permet).
Pour moi la comparaison est tout à fait pertinente
votre avatar
Oui, enfin, personne n'est dupe sur le téléchargement illégale...
votre avatar
Si on apprécie de voir un communiqué officiel (en plus de messages aux clients concernés), on regrette le peu de détails donnés, d’autant que c’est une habitude chez LDLC.
Je précise que je n'ai pas d'actions chez LDLC. Mais la petite pique est-elle nécessaire ? Qu'on fasse une rétrospective après coup, pour analyser ce qui a été bien fait ou pas, pourquoi pas, je suis même pour.

Pour l'instant, on ne sait rien. LDLC est plutôt dans la transparence en général (j'ai déjà eu des mails de leur part concernant mes données personnelles suite à la précédente fuite par exemple).

Ne peut on pas laisser un peu de temps avant de s'exprimer sur le supposé manque de détail et laisser le temps à leur équipe de faire le nécessaire ?

Est-ce qu'on préfère être tenu au courant tout de suite d'une fuite, et d'avoir des données au fil de l'eau, ou attendre d'avoir toutes les informations pour communiquer ? Pour ma part, je suis plutôt "de la première équipe", car cela permet déjà d'alerter les clients de potentiels risques, comme le phishing.

Car une fuite de donnée, ce n'est pas toujours simple à identifier. D'un côté, il y a les actions correctives (pour éviter que ça ne continue), ce qui est la priorité numéro 1 dans ce genre de situation. De l'autre, il y a le côté surveillance (pour être sûr que les actions correctives ont été suffisantes). Enfin, vient le temps du diagnostique : quand, comment (normalement, le comment est déjà en parti résolu via les étapes précédentes), les données concernées, la volumétrie, etc...

Ce n'est pas en claquant des doigts qu'on a toutes les informations, et je trouve regrettable de jeter tout de suite la pierre sur le manque de transparence, sachant qu'on ne sait même pas quand la fuite a été détectée. Qui plus est, ils n'ont "d'obligation" qu'envers les personnes concernées, et, de mémoire, se fut le cas lors de la dernière fuite (je n'ai malheureusement plus le mail, je viens de regarder, mais j'en avais reçu un).
votre avatar
J'approuve. La comm pour annoncer la fuite en premier lieu, la recherche de coupables plus tard.
votre avatar
Le manque de détails concerne les données dérobées. De quoi s’agit-il ? Du classique nom, prenom, email ? Des adresses sont-elles dans le lot ? Des factures/commandes ?

Et concernant LDLC, comme indiqué, c’est la troisième fuite annoncée et sur les deux précédentes l’enseigne n’a pas donné de détails par la suite il me semble.
votre avatar
Le manque de détails concerne les données dérobées. De quoi s’agit-il ? Du classique nom, prenom, email ? Des adresses sont-elles dans le lot ? Des factures/commandes ?
Ils ne savent peut être pas encore avec précision. D'où l'absence d'information à ce sujet.
Et concernant LDLC, comme indiqué, c’est la troisième fuite annoncée et sur les deux précédentes l’enseigne n’a pas donné de détails par la suite il me semble.
C'est dommage que j'ai supprimé le mail, mais je suis quasiment sur que j'en avais reçu un quelque temps après qui m'indiquait justement les données concernées. J'avais trouvé ça tellement rare pour le noter ! Si je reçois des news, promis, je te transfert le mail ;)
votre avatar
Thks, je scrute aussi ma boite, j’ai plusieurs comptes chez eux ^^
votre avatar
Après, en théorie, ça ne devrait pas faire de différence dans la communication, mais j'ai un compte pro ;)
votre avatar
J'ai reçu un e-mail de leur part ce jour. Ils m'annoncent la chose suivante :
Les données collectées sont nom, prénom, email, adresse.
Aucune information sensible telle que votre mot de passe ou vos données bancaires n'a été compromise.
votre avatar
de mon côté, rien pour l'instant. Mais ça va peut être venir...

ou alors je ne suis pas concerné par la fuite. C'est aussi une possibilité.
votre avatar
Comme tu as un compte pro, ils pensent peut-être qu'ils ne sont peut-être pas obligés par le RGPD qui ne s'applique qu'aux données personnelles des individus et ils ont peut-être raison.
Remarque : je ne sais pas s'il y a tes données personnelles ou pas dans ton compte pro.
votre avatar
Le RGPD s'applique aussi au compte pro tant que les données sont personnelles (ce qui est le cas ici).

Ca va peut être finir par arriver. Pour l'instant, toujours rien (y compris dans les spams, j'ai vérifié !)
votre avatar
Rien reçu en ce qui me concerne, mais mon compte LDLC est censé avoir été supprimé automatiquement (je ne commandais plus chez eux, j'ai eu la notif de suppression).

Mais étant client matnet, dans la mesure où leur CRM est commun entre les enseignes (cela m'avait été confirmé par le DPO quand j'avais signalé les mails frauludeux sur l'adresse matnet post première fuite), je ne sais pas trop quoi penser vu que l'actu parle bien de toutes les boutiques du groupe.
votre avatar
Toujours rien non plus de mon côté.

Après, une fuite de données ne veut pas dire que toute la base clientèle se retrouve dehors. Une extraction par API interrompue, par exemple, sera incomplète, et si le système pas trop mal fait, il est possible de retracer les appels pour déterminer ceux qui ont été (potentiellement) frauduleux.

Ou alors il y a tellement de mails à envoyer qu'ils le font par vague pour éviter d'être blacklisté :D
votre avatar
Oui, c'est possible que je ne sois pas concerné. En fait j'ai été beaucoup surpris de ne jamais avoir été concerné (à priori) par les différentes fuites alors que j'étais client chez certaines des enseignes... Je veux bien croire en la chance, mais c'est pas ce que me dis l'abonnement hebdo FDJ depuis quelques années ni ma grand mère qui a passé sa vie à jouer au loto pour gagner 200 francs au cumul. :D
votre avatar
Reçu aussi aujourd'hui.
J'en profite pour les remercier de leur petit mot et pour leur dire que non, je ne suis pas compréhensif ni confiant suite à cet événement fâcheux.

En fait, LD, elle sait pas sécuriser son système d'information !
votre avatar
(c'est "L" ou "LDLC", mais "LD", ça n'a pas de sens ;) )
votre avatar
En fait, LD, elle sait pas sécuriser son système d'information !
A lire à voix haute la partie en gras ^^
votre avatar
Pub
votre avatar
C'est vraiment spécifique à la France toutes ces fuites à la chaîne, ou il y a le même genre de choses dans d'autres pays ?
votre avatar
Je pense qu'à l'international aussi il doit y avoir ce genre d'incident.

On assiste à une sacré recrudescence d'attaques informatiques depuis quelques temps.
votre avatar
Merci.
J'aimerais bien avoir des news concrètes là-dessus. Notamment une comparaison entre les pays, pour savoir si on est particulièrement visés ou pas.
votre avatar
Yep ça serait intéressant.
Après, le RGPD contraint à une transparence sur le sujet. J'ignore si c'est le cas de la législation dans d'autres pays.

En attendant, tu peux suivre GDPR Hub monté par Noyb qui référence les décisions des autorités de protection des données dans l'UE.
votre avatar
C'est à cause des teletravailleurs en 3 jours sur vpn. :troll:
votre avatar
C’est drôle toutes ces boites qui se font piquer les données..

Un particulier a l’obligation de sécuriser sa ligne sous peine de se voir sanctionner (coucou feu HADOPI)
votre avatar
Est-ce que les données LDLC sont hébergées par eux ou le sont-elles par un tiers ? Parce que si c'est le second cas, ldlc n'est pas entièrement responsable, non ?!
votre avatar
Si. Ce sont eux les responsables du traitement des données pour le RGPD. Ils doivent choisir leur sous-traitant et leur donner les bonnes consignes.
votre avatar
Si, en même temps que le sous-traitant.
votre avatar
Suite à la précédente fuite, j'avais reçu le 1er spam sur l'alias concerné le 15 octobre.
Seront-ils plus rapide cette fois ? :D
votre avatar
Topachat aussi, je viens de recevoir un mail de leur part disant que mon nom, prénom, courriel et adresse sont entre les mains de personnes malveillantes
votre avatar
Reçu aussi, mais c'est peut-être la même.
Le communiqué parle du « Groupe LDLC », cela peut donc concerner la marque LDLC, mais également une des autres marques du groupe : Materiel.net, Top Achat, Rue du Commerce, Hardware.fr, l’armoire de bébé, actimac…
votre avatar
idem, l'email provient de topachat pour moi (d'ailleurs j'avais oublié que j'y avais un compte, je me demande bien quand j'avais commandé la dernière fois)
votre avatar
J'ai reçu un mail de topachat il y a quelques temps disant que mon compte allait être supprimé le 30 ou 31 novembre 2024.
Puis le mail hier disant que mon compte avait fuité. Que la fuite date d'avant fin novembre je peux le comprendre, mais comment m'ont-ils retrouvé dans leur système pour m'envoyer le mail de fuite si je suis censé ne plus y être ?
Je demande à leur DPO pour savoir ce qu'ils ont encore sur moi ?

LDLC : deuxième « incident de cybersécurité » et fuite de données de l’année

Fermer