Il y a quelques jours, le groupe expliquait avoir été victime d’un « incident de cybersécurité »… une manière « polie » de parler de piratage ? Selon plusieurs de nos confrères – LeMagIT et Zataz –, cette attaque serait signée par le groupe de pirates Ragnar Locker.
« Conformément à nos règles, nous avons notifié le Groupe LDLC des vulnérabilités qu’il possède. Il n’y a eu aucune réaction de la part du Groupe LDLC, c’est pourquoi nous avons lancé le processus de fuite », affirment les attaquants, comme le rapporte Damien Bancal.
Ils n’ont pas l’intention de s’arrêter là : « S’il n’y a pas de contact du groupe LDLC, nous continuerons à télécharger des données jusqu’à ce que toutes les informations soient divulguées ».
« En toute vraisemblance, l’incident n’a probablement été "détecté" que lorsque les attaquants ont lancé le chiffrement de données et de systèmes auxquels ils avaient accès », ajoute Valéry Rieß-Marchive.
Commentaires (49)
#1
Reste à voir jusqu’où ça a été compromis. :/
#2
Ras-le-bol de ces fuites de données !
Est-ce le meilleur moyen de parvenir à ces fins, ici la dénonciation de failles de sécurité en vue de leur correction ?
Je ne crois pas, parce qu’à chaque fois qui pâtit le plus de ces fuites ? le consommateur pardi, pas l’entreprise !
On le paie en spam, en phishing, en trojans et autres joyeusetés du même genre !
Il se trouve qu’il y a quelques mois, j’ai acheté un truc chez LDLC, je suis donc susceptible d’être impacté par cette fuite, du coup, à part me taper la tête contre les murs et changer (pour la trouzième fois) de mot de passe, que puis-je faire ?
Ragnar Locker, je ne vous connais pas, mais considérez par la présente que vous venez de recevoir la pire insulte jamais inventée, votre stupidité est terrifiante !
#3
Si c’est vrai, c’est plutôt LDLC qui est à blâmer ici…
#3.1
Ils sont certainement à blâmer, mais dans l’histoire c’est nous les dindons ! Lorsque des emails et des données de comptes fuitent sur le net, c’est - a minima - un gros tas de spam et de phishing assuré, si ce n’est pire !
Merci pour cette mise au point, en effet maintenant c’est clair… /:
#4
Et pour info, Gravatar pour Wordpress a subi une brèche importante avec leaks des adresses emails, noms d’utilisateurs etc, j’ai reçu un mail de Mozilla, j’avais un vieux profil Wordpress.com que je n’utilisais jamais et j’aurais dû le supprimer bien avant.
Je m’étais re crée un compte LDLC pour le black friday, quelques jours plus tard ils subissent une attaque… Bref, changez vos mots de passes, et utilisez le 2FA par OTP pour votre adresse de messagerie dès que vous le pouvez.
#5
Je viens de faire très rapidement une recherche sur “Ragnar Locker”, ils sembleraient liés à des activités de ransomware. Donc le consommateur n’a pas d’importance à leurs yeux, ils veulent juste du pognon.
#5.1
Une db d’adresse emails avec des hash de mot de passe, ça se vend aussi
#5.2
Je n’ai pas reçu de notification de LDLC, il est probable qu’ils n’aient pas récupéré de données client (de mémoire il y a une obligation de notification)
Je crois que c’est de la communication pour se faire bien voir.
Le message envoyé à LDLC était peut être “payez X Bticoin sinon on dévoile les données qu’on a volé”
Dans ces cas là prendre contact avec les criminels ne sert à rien.
Je n’ai pas l’impression que l’on soit face à un bug bounty ou un truc du genre
#6
Ouille, triste histoire :/
#7
LDLC mais sûrement aussi Materiel.Net et consorts …
#8
Si ce groupe de pirates attaque des sites de e-commerce, c’est pour tester et améliorer la sécurité du web… La rémunération qu’il demande, c’est uniquement pour couvrir les frais. Et les fuites, c’est juste un rappel de paiement.
AH AH AH AH AH AH AH AH…
#9
Si ils ont prévenu LDLC AVANT, alors oui, LDLC est responsable. Encore des managers pas doué :/
Et ils ont raison de continuer a le faire. Si tu les prévient d’une fuite, qu’il ne font rien, alors la menace reste la seule solution si l’entreprise ne fait rien.
Qu’ils continuent car ils auraient pu ne rien dire, j’espère qu’ils trouveront d’autres faille sur d’autres sites.
#10
Tout le monde se rappelle bien entendu de La Grande Dépression Citoyenne, suite à l’attaque de Saint-Gobain (220M€ de pertes), ou encore de La Purge qui a conduit nos compatriotes à se massacrer entre eux, complètement perturbés par le piratage de TV5 Monde.
C’est vrai ça, le spam, quelle horreur!
Bloqué à seulement 95% des occurrences, alors que pendant ce temps-là les entreprises le paient en perte d’image, en perte d’exploitation, en perte de résultat, que leurs salariés doivent se battre nuit et jour pour contenir/évincer l’attaquant, que des gens sacrifient temporairement leurs droits et leur vie perso/santé pour pour protéger leur job et ceux de leurs collègues.
#10.1
#11
Déjà 29GB jetés en pâture… Et cela n’est que coup de semonce initial, sans doute très loin du vrai total.
J’ai été longtemps client fidèle de Materiel/LDLC, mais mes derniers achats doivent désormais remonter à 4 ou 5 ans… Je ne sais donc pas s’ils font partie du nb croissant de sites faisant un certain forcing pour mémoriser les données de sa CB (coucou Amazon ou il faut aller les virer explicitement après chaque achat): Le truc qui devrait être de base purement et simplement interdit…
En tout cas, l’absence de communication envers leurs clients fait vraiment tâche. A croire que n’ayant rien vu filer ils n’ont logiquement rien à leur dire de concret? Ayez confiance!!!
#11.1
ne jamais faire d’achat internet sans passer par e-cb.
beaucoup de banques en ligne les proposent, généralement sans surcout.
#12
Cela montre la connaissance extrême que tu as de ce milieu. Il ne faut pas payer. Jamais. Ils ont les données, rien ne te prouve qu’il ne les revendrons pas par la suite. Ils seraient d’ailleurs bête de ne pas le faire ! C’est un moyen supplémentaire de se faire de l’argent.
C’est un groupe de pirate, pas des enfants de coeur. Des enfants de coeur aurait simplement notifier l’entreprise ainsi que les autorités compétentes (CNIL ou ANSII entre autres) avant éventuellement de divulguer la faille si toujours pas de réponse.
“On a vos données. Filez nous 100 bitcoins ou on les dévoile”. Je n’appelle pas cela prévenir, j’appelle cela “faire chanter”.
Ce sont des pirates qui agissent pour une seule chose : l’argent. Ton bien être et tes données, ils s’en fiche royalement autrement que par les aspects pécuniers. Tu es à la limite de l’apologie du piratage là !
#13
Ton raisonnement me laisse pantois, d’un autre côté je ne suis pas très étonné.
#14
Ampleur des dégâts : le groupe derrière s’est mis à diffuser des screens de la conversation Teams de la réunion chez LDLC en réponse à l’incident 😅
https://twitter.com/vxunderground/status/1466523987031302145?t=YweBhBPtVEWGWi2mwc45qQ&s=19
#15
Lorsque le chrypto commence à agir, ça fait un longtemps que le système d’information est compromis et que le ou les attaquants ce sont servis en data ayant de la valeur.
#16
#17
tiens, on dirait que c’est l’heure des soldes sur EPA:ALLDL
#18
Mot de passe changé.
Le reste des informations (nom, prénom, mail, adresse, téléphone, …) a déjà fuité des dizaines de fois par x sites donc bof.
#18.1
Bizarre, mot de passe changé chez Materiel.net et je n’ai pas de confirmation/validation via mail ou tel. ?
#18.2
Idem chez LDLC mais il y avait une petite phrase en vert qui confirmait.
#19
Au delà du réseau de l’entreprise, c’est ici la machine d’au moins un des interlocuteurs qui est vérolée et aura permis cette simple capture. Surtout que vu l’heure (~22h30) ça discutait sans doute de chez soi et que Teams n’a aucun besoin du VPN (ce qui évite de les charger).
Ils ont bien dû se marrer en face… Un peu moins côté LDLC, à la veille de Noël en pleine période d’achat de début de moins ça va faire très mal de ne pas pouvoir faire confiance à grand chose!
#19.1
Clair qu’avec les fêtes de noël c’est au pire moment. :/
#19.2
Parce que tu crois que le monde du lambda est au courant de cette fuite ?
Ceux qui vont sur Topachat ne savent même pas que cela appartient à LDLC.
Qui est sans doute concerné aussi par la fuite.
#19.3
activedirectory, management DNS et Vmware management je pense plutôt à un PC du travail ( peut être que physiquement à domicile mais vu les appli ils est vraiment vraiment passioné )
#20
Et même maintenant, quand on lit les contrats, ne pas utiliser e-cb fait qu’on est moins couvert en cas de subtilisation des n° de CB.
#20.1
Non et même si cette clause est écrite elle sera considérée comme non écrite. La banque doit rembourser tout mouvement qui n’est pas du fait du porteur tant que celui-ci l’a toujours en sa possession. La seule nuance c’est lorsqu’il y a utilisation du dispositif de sécurité (sécuripass, sécuricode, cyberplus, …), la banque peut retenir une franchise de 50 euros.
#21
Pareil chez topachat et ldlc. C’est vrai que c’est curieux de ne pas avoir de confirmation par mail.
#22
Les contrats, c’est une chose. La loi, qui en est une autre, passe au dessus: Si la charge de la preuve il y a 10 ou 15 ans reposait encore sur l’utilisateur pour démontrer le caractère frauduleux d’un paiement, ce n’est désormais plus le cas: La banque est obligée de te rembourser… Normal: C’est pas vraiment l’utilisateur qui a la main sur les données du paiement…
Confirmé en cassation il y a 2 ans malgré un 3D Secure dans les clous:
https://demarchesadministratives.fr/actualites/fraude-a-la-carte-de-paiement-en-ligne-la-banque-est-elle-tenue-de-rembourser-le-client
J’ai pour ma part toujours refusé les “contrats de compte” proposés par les banques couvrant paiements frauduleux et e-CB à gogo, justement car c’est un moyen de te faire payer une assurance… sur leurs propres obligations légales.
Maintenant, chacun (se) fait (baiser) comme il veut!
#23
Ah oui ? La dernière fois que j’ai regardé il n’y avait que Fortuneo
#24
Pour être plus précis, la banque doit rembourser si elle ne peut pas prouver qu’il y a eu négligence de la part de son client. Si elle réussie à prouver la négligence, elle n’est pas tenue de rembourser, même si son client a toujours possession de sa carte.
Exemple de négligence : le client reçoit par SMS un code de confirmation. Il reçoit un appel soit disant de sa banque/d’un prince nigérian/de mata hari lui demandant le code. Si le client donne le code, il est en tord.
Mais attention ! Il ne suffit pas qu’il y ait eu négligence pour que la banque ne rembourse pas. Il faut qu’elle arrive à prouver cette négligence (ce qui est généralement très difficile).
#25
Même pas évident, cf mon lien ci-dessus ou la banque se retranchait derrière un 3D-Secure “propre”: C’est le moyen de paiement mis à ta disposition qui compte, pas ce qui est rajouté dessus comme canal de validation supplémentaire.
Le 3D-Secure via SMS dont le début (et le code!) sont visible via la bulle-notif sans même déblocage du smartphone pour qui y aurait accès en même temps que la carte de paiement, c’était quand même mieux que rien mais ne résolvait pas le cas vol du tél en même temps que du portefeuille… Rien n’est infaillible et en rajouter des couches, c’est ajouter le besoin de coller des bourre-pifs pour faire cracher les infos requises en plus du vol simple!
#25.1
Si une banque se présente avec ça au tribunal, elle va confirmer que son client à subit une fraude et que sa lutte contre la fraude est insuffisante. Je ne sais pas si je tenterais ça…
Le 3D secure avec sms n’est pas considéré comme un moyen de sécurisation contrairement aux moyens préconisés par la dsp2.
#26
La charge de la preuve d’une négligence a été inversée je sais plus quand, je dirais vers 2005 (car c’est cette décision qui m’avait fait commencer à acheter en ligne, avant je me refusais à cautionner un système malsain). Avant, elle incombait au client avec des difficultés encore plus grandes: C’est pas vraiment lui qui a la possibilité d’avoir toutes les infos de paiement/transaction sur le réseau bancaire.
A cette époque, les conventions de compte payantes assurant contre les paiements frauduleux par internet étaient donc systématiques… Le législateur y a mis bon ordre, car les banques qui rentabilisaient alors ainsi leurs trous dans la raquette sur le dos des clients n’avaient aucun intérêt à les boucher efficacement: Tous les ans on évaluait le risque avec des stats que l’on était bien placé pour avoir, ajoutait sa grosse marge et roule (le client)…
Beaucoup continuent néanmoins à proposer ces conventions de compte et les assurances désormais superflues incluses! Par habitude, l’immense majorité continue de payer…
#27
Si tu connais un meilleur moyen, il faut le partager.
#28
/me tente de mettre à jour les infos du compte pas utilisé depuis des années
Bordel de cul de chiotte d’abrutis de cons de débiles de nom d’une queue coupée en quatre !
Rien d’autre à ajouter.
Edit : Ah si !
Bordel de bande de teubés ! Encore un SI de l’âge de pierre codé avec le cul.
#29
Je suis encore un client fidèle parce que la qualité de service est juste excellente, même comparé à Amazon, alors autant les soutenir. À priori, je me souviens pas qu’ils m’aient demandé de conserver les infos de ma CB.
Pour les prélèvement je suis plus mitigé, parce que techniquement n’importe qui peut signer un SEPA à ton nom sans plus de vérification… mais entre ça et enregistrer ton numéro de CB, pour les abonnements… ou alors, faire comme NXi, payer à l’avance, manuellement (par virement du coup
).
#30
Carrément d’accord, d’ou ils stockent nos numero de CB… le truc, je n’ai jamais compris pourquoi c’etait autorisé
#31
Ha tiens ! un syndrome Gilles de la Tourette à l’écrit
#31.1
Je te laisse imaginer ce que mes collègues vivent quotidiennement
#32
Que de réactions bien surprenantes sur ce que LDLC devrait faire…
La situation est un chantage, que l’attaquant ait prévenu le victime avant la diffusion ou pas, qu’il y ait fuite ou pas, qu’il y ait telle ou telle promesse de faite ou non.
Le dilemme reste le même : payer en espérant que les promesses soient tenues (promesses de personnes ne respectant pas les règles à commencer par les lois… quelle valeur ?), et en soupesant ce qu’il y a à gagner… ou ne pas payer afin de décourager la pratique en espérant immiscer le doute dans la tête de potentiels attaquants sur la rentabilité de l’attaque; en tous cas en la minimisant (rentabilité plus issue qu’uniquement de la revente de données et non plus du paiement du chantage).
N’oubliez pas que l’informatique et toujours vue comme un centre de coûts et non un lieu d’investissements, même dans des entreprises vivant exclusivement en ligne.
Dans cette logique, tout ce qui n’est pas immédiatement lié à de la vente est une “pure perte” : sécurité, améliorations, mises à jour, bonnes pratiques unifiées, etc.
Niveau conception, dans cette mentalité, le “simple & rapide” (donc mal faire) prévaudra toujours sur le bien conçu avec une vue d’ensemble envisageant un futur à plus long terme.
Le travail dans l’urgence permanente, la “tête dans le guidon”, à qui cassera le plus fort pour se voir allouer les ressources en priorité, à corriger vite pour vite re-créer de la valeur, dans un foutoir en cycle perpétuel.
Tout le monde semble d’accord pour dire que la sécurité et une bonne conception sont importants, suivi de “mais…” pour justifier de ne pas le faire.
LDLC ? Juste un autre épisode d’une (mauvaise) série.
#32.1
Presque +1 sur tout sauf :
“N’oubliez pas que l’informatique et toujours vue comme un centre de coûts et non un lieu d’investissements, même dans des entreprises vivant exclusivement en ligne.“
Que je remplacerais par :
“N’oubliez pas que l’adoption de l’informatique ne se justifie a terme qu’a travers le prisme d’une réduction des coûts inhérents aux outils qu’il remplace.”
Le problème oeuf-poule étant résolu …
#33
Bon bah je n’ai plus qu’à changer l’alias que j’utilise pour mon compte ldlc. Aucun site n’a ma véritable adresse mail, à part le provider de mon nom de domaine+mail ^^. j’utilise un alias différent pour chaque site. Et si ça commence à spammer, hop on le supprime et on en créé un nouveau, ça limite grandement
#34
je vois onenote et excel :o pas peu que les mdp seraient la dedans xD
#35
Je suis d’accord, ça devrait être interdit.