LDLC : deuxième « incident de cybersécurité » et fuite de données de l’année
Le 11 décembre à 07h54
2 min
Sécurité
Sécurité
La série noire pour les enseignes françaises continue et c’est au tour de LDLC d’annoncer être « victime d’une fuite de données clients ». Si on apprécie de voir un communiqué officiel (en plus de messages aux clients concernés), on regrette le peu de détails donnés, d’autant que c’est une habitude chez LDLC.
La marque ne donne en effet aucune précision sur les données dérobées, si ce n’est qu’aucune information « financière ou sensible des clients n’est concernée ». De leur côté, « les clients n’ont aucune action à réaliser et ils seront informés si leurs données sont concernées ».
Le communiqué parle du « Groupe LDLC », cela peut donc concerner la marque LDLC, mais également une des autres marques du groupe : Materiel.net, Top Achat, Rue du Commerce, Hardware.fr, l’armoire de bébé, actimac…
Enfin, « l’entreprise est en contact avec les autorités gouvernementales et les régulateurs compétents, notamment dans le cadre du RGPD ».
LDLC avait déjà été piraté en mars de cette année, mais cela ne concernait alors que des clients des boutiques physiques du Groupe. On remarque d’ailleurs que les deux communiqués de 2024 sont des quasi-clones.
LDLC avait aussi été piraté fin 2021.
Depuis la rentrée, les annonces se multiplient : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Point, un client de Mediboard, Direct Assurance, Norauto…
Le 11 décembre à 07h54
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousAujourd'hui à 08h30
Modifié le 11/12/2024 à 09h55
Mais bon, d'un autre côté, les GAFAM sont probablement BIEN PLUS attaqués que LDLC en proportions, et donc il y a peut-être effectivement un problème du côté de leur SSI.
Aujourd'hui à 10h25
Si tu ajoutes à cela une large surface d'attaque avec de nombreuses boutiques physique et en ligne. Ca n'a rien de forcément déroutant.
Je ne dis pas qu'ils ne peuvent pas faire mieux ! Ils sont peut-être juste fautif. Mais ce qui me choquerait vraiment c'est de voir plusieurs fois le même type d'attaque passer. Il faudrait avoir plus d'informations pour juste dire qu'ils ont un vrai soucis de sécurisation je pense.
Aujourd'hui à 11h54
Aujourd'hui à 12h32
Hadopi le but c'était de "faire peur" à ceux qui téléchargent illégalement pour freiner la pratique. Sur des millions d'avertissements, il y a dû avoir moins de 1000 condamnations de mémoire, ils n'ont pas du sanctionner grand monde pour défaut de sécurisation de box.
Je vois mal le rapport avec le fait de se faire attaquer informatiquement...
Aujourd'hui à 08h53
Pour l'instant, on ne sait rien. LDLC est plutôt dans la transparence en général (j'ai déjà eu des mails de leur part concernant mes données personnelles suite à la précédente fuite par exemple).
Ne peut on pas laisser un peu de temps avant de s'exprimer sur le supposé manque de détail et laisser le temps à leur équipe de faire le nécessaire ?
Est-ce qu'on préfère être tenu au courant tout de suite d'une fuite, et d'avoir des données au fil de l'eau, ou attendre d'avoir toutes les informations pour communiquer ? Pour ma part, je suis plutôt "de la première équipe", car cela permet déjà d'alerter les clients de potentiels risques, comme le phishing.
Car une fuite de donnée, ce n'est pas toujours simple à identifier. D'un côté, il y a les actions correctives (pour éviter que ça ne continue), ce qui est la priorité numéro 1 dans ce genre de situation. De l'autre, il y a le côté surveillance (pour être sûr que les actions correctives ont été suffisantes). Enfin, vient le temps du diagnostique : quand, comment (normalement, le comment est déjà en parti résolu via les étapes précédentes), les données concernées, la volumétrie, etc...
Ce n'est pas en claquant des doigts qu'on a toutes les informations, et je trouve regrettable de jeter tout de suite la pierre sur le manque de transparence, sachant qu'on ne sait même pas quand la fuite a été détectée. Qui plus est, ils n'ont "d'obligation" qu'envers les personnes concernées, et, de mémoire, se fut le cas lors de la dernière fuite (je n'ai malheureusement plus le mail, je viens de regarder, mais j'en avais reçu un).
Aujourd'hui à 09h10
Aujourd'hui à 10h58
Et concernant LDLC, comme indiqué, c’est la troisième fuite annoncée et sur les deux précédentes l’enseigne n’a pas donné de détails par la suite il me semble.
Aujourd'hui à 11h31
C'est dommage que j'ai supprimé le mail, mais je suis quasiment sur que j'en avais reçu un quelque temps après qui m'indiquait justement les données concernées. J'avais trouvé ça tellement rare pour le noter ! Si je reçois des news, promis, je te transfert le mail ;)
Aujourd'hui à 11h41
Aujourd'hui à 11h46
Aujourd'hui à 09h53
Aujourd'hui à 10h17
On assiste à une sacré recrudescence d'attaques informatiques depuis quelques temps.
Aujourd'hui à 13h17
J'aimerais bien avoir des news concrètes là-dessus. Notamment une comparaison entre les pays, pour savoir si on est particulièrement visés ou pas.
Aujourd'hui à 13h50
Après, le RGPD contraint à une transparence sur le sujet. J'ignore si c'est le cas de la législation dans d'autres pays.
En attendant, tu peux suivre GDPR Hub monté par Noyb qui référence les décisions des autorités de protection des données dans l'UE.
Aujourd'hui à 10h10
Aujourd'hui à 10h12
Un particulier a l’obligation de sécuriser sa ligne sous peine de se voir sanctionner (coucou feu HADOPI)
Aujourd'hui à 10h58
Aujourd'hui à 13h12
Aujourd'hui à 11h37
Seront-ils plus rapide cette fois ?