Connexion
Abonnez-vous

LDLC : deuxième « incident de cybersécurité » et fuite de données de l’année

Le 11 décembre à 07h54

La série noire pour les enseignes françaises continue et c’est au tour de LDLC d’annoncer être « victime d’une fuite de données clients ». Si on apprécie de voir un communiqué officiel (en plus de messages aux clients concernés), on regrette le peu de détails donnés, d’autant que c’est une habitude chez LDLC.

La marque ne donne en effet aucune précision sur les données dérobées, si ce n’est qu’aucune information « financière ou sensible des clients n’est concernée ». De leur côté, « les clients n’ont aucune action à réaliser et ils seront informés si leurs données sont concernées ».

Le communiqué parle du « Groupe LDLC », cela peut donc concerner la marque LDLC, mais également une des autres marques du groupe : Materiel.net, Top Achat, Rue du Commerce, Hardware.fr, l’armoire de bébé, actimac…

Enfin, « l’entreprise est en contact avec les autorités gouvernementales et les régulateurs compétents, notamment dans le cadre du RGPD ».

LDLC avait déjà été piraté en mars de cette année, mais cela ne concernait alors que des clients des boutiques physiques du Groupe. On remarque d’ailleurs que les deux communiqués de 2024 sont des quasi-clones.

LDLC avait aussi été piraté fin 2021.

Depuis la rentrée, les annonces se multiplient : BoulangerCulturaDiviaMobilitésTruffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraiteRED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, Auchan et le Pointun client de Mediboard, Direct Assurance, Norauto

Le 11 décembre à 07h54

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
A quelle moment on peut considérer qu'il y à un défaut flagrant de sécurisation ? une entreprise qui se fait piraté 3 fois en 3 ans à clairement un soucis pour moi.
votre avatar
Franchement, je serais pas aussi tranché : tu peux aussi être particulièrement attaqué.
Mais bon, d'un autre côté, les GAFAM sont probablement BIEN PLUS attaqués que LDLC en proportions, et donc il y a peut-être effectivement un problème du côté de leur SSI.
votre avatar
Quand tu fais de la croissance externe, tu hérites d'un certains nombre de systèmes. Le temps de tout rationaliser, que ce soit les softs de gestion, ceux de sécurité, le personnel, les services, les hébergements, etc... Ca prend quand même un peu de temps.

Si tu ajoutes à cela une large surface d'attaque avec de nombreuses boutiques physique et en ligne. Ca n'a rien de forcément déroutant.

Je ne dis pas qu'ils ne peuvent pas faire mieux ! Ils sont peut-être juste fautif. Mais ce qui me choquerait vraiment c'est de voir plusieurs fois le même type d'attaque passer. Il faudrait avoir plus d'informations pour juste dire qu'ils ont un vrai soucis de sécurisation je pense.
votre avatar
Mais quand tu compares à Hadopi qui te sanctionnait pour défaut de sécurisation de ta connexion, tu te dis qu'il vaut mieux être une entreprise et ne pas sécuriser tes données qu'un particulier qui a son petit fils qui a téléchargé 3 films depuis ta box
votre avatar
Oui, enfin, j'ai du mal à comparer.
Hadopi le but c'était de "faire peur" à ceux qui téléchargent illégalement pour freiner la pratique. Sur des millions d'avertissements, il y a dû avoir moins de 1000 condamnations de mémoire, ils n'ont pas du sanctionner grand monde pour défaut de sécurisation de box.
Je vois mal le rapport avec le fait de se faire attaquer informatiquement...
votre avatar
Si on apprécie de voir un communiqué officiel (en plus de messages aux clients concernés), on regrette le peu de détails donnés, d’autant que c’est une habitude chez LDLC.
Je précise que je n'ai pas d'actions chez LDLC. Mais la petite pique est-elle nécessaire ? Qu'on fasse une rétrospective après coup, pour analyser ce qui a été bien fait ou pas, pourquoi pas, je suis même pour.

Pour l'instant, on ne sait rien. LDLC est plutôt dans la transparence en général (j'ai déjà eu des mails de leur part concernant mes données personnelles suite à la précédente fuite par exemple).

Ne peut on pas laisser un peu de temps avant de s'exprimer sur le supposé manque de détail et laisser le temps à leur équipe de faire le nécessaire ?

Est-ce qu'on préfère être tenu au courant tout de suite d'une fuite, et d'avoir des données au fil de l'eau, ou attendre d'avoir toutes les informations pour communiquer ? Pour ma part, je suis plutôt "de la première équipe", car cela permet déjà d'alerter les clients de potentiels risques, comme le phishing.

Car une fuite de donnée, ce n'est pas toujours simple à identifier. D'un côté, il y a les actions correctives (pour éviter que ça ne continue), ce qui est la priorité numéro 1 dans ce genre de situation. De l'autre, il y a le côté surveillance (pour être sûr que les actions correctives ont été suffisantes). Enfin, vient le temps du diagnostique : quand, comment (normalement, le comment est déjà en parti résolu via les étapes précédentes), les données concernées, la volumétrie, etc...

Ce n'est pas en claquant des doigts qu'on a toutes les informations, et je trouve regrettable de jeter tout de suite la pierre sur le manque de transparence, sachant qu'on ne sait même pas quand la fuite a été détectée. Qui plus est, ils n'ont "d'obligation" qu'envers les personnes concernées, et, de mémoire, se fut le cas lors de la dernière fuite (je n'ai malheureusement plus le mail, je viens de regarder, mais j'en avais reçu un).
votre avatar
J'approuve. La comm pour annoncer la fuite en premier lieu, la recherche de coupables plus tard.
votre avatar
Le manque de détails concerne les données dérobées. De quoi s’agit-il ? Du classique nom, prenom, email ? Des adresses sont-elles dans le lot ? Des factures/commandes ?

Et concernant LDLC, comme indiqué, c’est la troisième fuite annoncée et sur les deux précédentes l’enseigne n’a pas donné de détails par la suite il me semble.
votre avatar
Le manque de détails concerne les données dérobées. De quoi s’agit-il ? Du classique nom, prenom, email ? Des adresses sont-elles dans le lot ? Des factures/commandes ?
Ils ne savent peut être pas encore avec précision. D'où l'absence d'information à ce sujet.
Et concernant LDLC, comme indiqué, c’est la troisième fuite annoncée et sur les deux précédentes l’enseigne n’a pas donné de détails par la suite il me semble.
C'est dommage que j'ai supprimé le mail, mais je suis quasiment sur que j'en avais reçu un quelque temps après qui m'indiquait justement les données concernées. J'avais trouvé ça tellement rare pour le noter ! Si je reçois des news, promis, je te transfert le mail ;)
votre avatar
Thks, je scrute aussi ma boite, j’ai plusieurs comptes chez eux ^^
votre avatar
Après, en théorie, ça ne devrait pas faire de différence dans la communication, mais j'ai un compte pro ;)
votre avatar
C'est vraiment spécifique à la France toutes ces fuites à la chaîne, ou il y a le même genre de choses dans d'autres pays ?
votre avatar
Je pense qu'à l'international aussi il doit y avoir ce genre d'incident.

On assiste à une sacré recrudescence d'attaques informatiques depuis quelques temps.
votre avatar
Merci.
J'aimerais bien avoir des news concrètes là-dessus. Notamment une comparaison entre les pays, pour savoir si on est particulièrement visés ou pas.
votre avatar
Yep ça serait intéressant.
Après, le RGPD contraint à une transparence sur le sujet. J'ignore si c'est le cas de la législation dans d'autres pays.

En attendant, tu peux suivre GDPR Hub monté par Noyb qui référence les décisions des autorités de protection des données dans l'UE.
votre avatar
C'est à cause des teletravailleurs en 3 jours sur vpn. :troll:
votre avatar
Est-ce que les données LDLC sont hébergées par eux ou le sont-elles par un tiers ? Parce que si c'est le second cas, ldlc n'est pas entièrement responsable, non ?!
votre avatar
Si. Ce sont eux les responsables du traitement des données pour le RGPD. Ils doivent choisir leur sous-traitant et leur donner les bonnes consignes.
votre avatar
Suite à la précédente fuite, j'avais reçu le 1er spam sur l'alias concerné le 15 octobre.
Seront-ils plus rapide cette fois ? :D

LDLC : deuxième « incident de cybersécurité » et fuite de données de l’année

Fermer