La société a publié un communiqué des plus succinct. Cet « incident », dont on ne connaît aucun détail technique, a « entraîné un accès non autorisé aux données de l’entreprise », mais « n’a pas eu d’impact sur les opérations commerciales ».
Une « analyse approfondie » a évidemment été mise en place avec les experts et des partenaires sécurité. Ils ont « immédiatement pris les dispositions nécessaires pour renforcer les mesures de protection déjà existantes, minimiser les éventuelles conséquences et en rechercher les origines ».
« Ces investigations se poursuivent, et même si certaines données à caractère personnel ont pu être consultées, cela ne concerne en aucun cas les informations sensibles relatives aux clients des sites internet marchands du Groupe ». Là encore, aucun détail n’est donné.
LDLC est en contact avec les autorités gouvernementales et les régulateurs compétents.
Commentaires (20)
#1
C’est effectivement LA phrase à sortir pour rassurer sur le sort de nos données : tout va bien, les opérations commerciales fonctionnent toujours ^^
#1.1
“Les opérations commerciales” ça signifie peut-être que les données relatives au site e-commerce (commandes, coordonnées des clients, mots de passe sur le site, etc.) n’ont pas été touchées.
#1.2
J’en doute.
Ce communiqué est volontairement peu clair.
Quand on lit la suite (”certaines données à caractère personnel ont pu être consultées, cela ne concerne en aucun cas les informations sensibles relatives aux clients des sites internet marchands du Groupe”), on voit qu’ils évitent soigneusement de dire quelles sont les données personnelles qui ont fuitées. Cela pourrait être celles des employés uniquement comme celles des clients mais dans ce cas, pas des données “sensibles” qu’ils évitent là aussi de définir. Des informations bancaires seraient sensibles sans aucun doute, mais un mot de passe haché (salé ou non) l’est-il pour eux ? Et je pense que pour eux, une adresse mail, un nom, un numéro de téléphone ne sont pas des données sensibles.
Edit :
ou pas. Comme je le dis plus haut, c’est peu clair, on peut donc en conclure tout et son contraire.
#1.3
Dans un communiqué, on peut jouer sur tous les mots… Qu’est ce qui est sensible, qu’est ce qui est personnel, qu’est ce qu’est une opération commerciale. Ils reviendront peut être avec plus de détails, mais je n’en vois pas l’intérêt, ni pour eux, ni pour nous (sauf s’il y a de nouveaux éléments contredisants).
Il y a une attaque, elle est maitrisée, pas de fuite, pas d’impact sur les commandes de Noel ou les numéro de CB et Mot de passe : c’est tout ce que les gens ont besoin de savoir.
#2
Vu la description de l’incident il semble que ce soit des données internes à l’entreprise (comme par exemple la liste des employées) qui ont été consultés, pas des données clients.
#3
Le mec voulait connaitre la date du prochain drop de FE
#4
C’est ce que j’avais compris.
#5
Et pas de message aux personnes concernées par la fuite ?
#6
En tant que client, j’aimerais pourtant avoir des informations plus précises. Et si j’étais actionnaire ça serait pareil.
#7
Oui, mais il ne te doivent pas grand chose en fait…
Les actionnaires, c’est différent, et je pense que les principaux en sauront plus, de façon privée.
Si tu reçois un mail qui dit “nous avons subit une intrusion et votre adresse mail a pu être consultée” ca ne va pas changer la phase du monde… Ca va intéresser quelques personnes comme toi peu être. Personnellement, ca me fera une belle jambe… Et encore faut-il qu’ils sachent concrètement ce qui a été consulté et de quel façon…
Par contre, ca peut donner un indication précise de ce que l’on pourrait retrouver en vente sur le darknet. Dans le cas présent visiblement, rien d’intéressant.
La communication individuelle prend son sens s’il y a des données plus sensibles du genre, CB, IBAN, MDP, etc… (pas au sens RGPD), mais on peut imaginer que ces données sont mieux protégées.
#8
Euh si ils doivent grand chose .. dans le cadre CNIL/RGPD ils doivent déclarer les données fuitées de données personnelles
Un nom, email est une donnée personnelle y a pas que le cb iban
#9
Sauf que si tu a lu le communiqué :
L’entreprise est en contact avec les autorités gouvernementales et les régulateurs compétents, notamment dans le cadre du RGPD (Règlement général sur la protection des données)
Donc soit aucune donnée personnelle n’a fuité, soit ils feront le nécessaire. Donc comme je le disais plus haut, ils reviendront peut être avec plus de détails. Ca ne changera pas grand chose : une belle jambe.
#10
Bah non ces termes sont clairement définis dans le RGPD :
Y’a aucune raison que LDLC héberge des données sensibles, donc c’est assez normal qu’aucune n’ait fuitée…
#11
Il n’y a donc aucune raison d’user la dénégation à ce sujet dans leur communiqué. C’est cet aspect qui est étrange.
A moins que ces commerçants aient une pratique de la vente, y compris en ligne, plus étendue dans ses pratiques d’analyse qu’ils ne veulent bien le montrer en public ?
Ô la belle affaire.
#12
Petit point avec le RGPD car je lis beaucoup de choses approximatives dans les commentaires et de croyances fausses.
En cas de violation de données à caractère personnel, quelles sont les obligations du responsable de traitement ?
Tout d’abord, notifier la CNIL de la violation dans les 72h de sa découverte. Cette déclaration est une déclaration préliminaire et pourra être complétée par la suite une fois des investigations plus poussées faites.
Qu’est-ce qui doit être déclaré ?
Grosso modo, la nature de la violation, le type de données qui a fuité, le nombre de personnes concernées par cette violation, les mesures prises pour éviter qu’elle ne se reproduise, ainsi que les conséquences pour les personnes concernées. Tout ne doit pas obligatoirement être déclarée lors de la déclaration préliminaire. Il faut donner les informations dont on dispose et les compléter dès que c’est possible.
Est-ce que les personnes concernées doivent être averties ?
Seulement si le risque pour les personnes concernées est important. Par exemple, en cas de violation de mot de passe, de coordonnées bancaires ou de violation de données sensibles (opinions politiques, religieuses, etc…). S’il n’y a que nom / prénom / email, le risque est très faible donc cela n’est pas nécessaire.
Et pour ceux qui veulent aller plus loin, comme toujours dans ce cas, ne pas hésiter à contacter la CNIL. Elle a d’ailleurs fait un petit rappel sur comment notifier une violation
Ici, LDLC a fait ce qui lui ait demandé. Il est en communication avec la CNIL et poursuit ses investigations pour déterminer l’impact exact de cette violation de données. Le fait que LDLC ait réalisé un communiqué pour avertir au plus tôt d’une violation me semble être un acte de transparence. Ce qui est tout à l’heure honneur. On peut parier qu’ils donneront de plus amples informations dès qu’ils auront pu déterminer avec exactitude les détails de cette violation de données.
Donc avant de crier au loup et de dire que c’est inadmissible qu’on ne soit pas déjà averti, attendons de voir. Vu les démarches qu’ils ont effectuées jusqu’à présent, si on doit être prévenu en tant que client (car oui, je suis client chez eux, donc potentiellement impacté), il ne tarderont pas à revenir vers nous, quand bien même le risque serait faible.
Si vous êtes parano, faite simple : changez votre mot de passe ! Pas besoin d’attendre plus longtemps pour ça ;)
#13
Il faut voir plus loin que le bout de son née et que le RGPD. C’est exactement pour cela que je dis que l’on peut jouer sur les termes. Des données sensible au sens RGPD, peu de sociétés en ont. Dans mon ancienne boite, nous en avions, ca ne nous empêchait pas d’avoir des données bien plus sensibles et destructrices pour nos clients.
Tu stocks les numéros de CB de tes clients, ou leur IBAN pour le pro par exemple, c’est pas une donnée sensible au sens RGPD, je suis bien d’accord, j’en ai mangé pas mal.. Pour ma part, je préfère qu’un attaquant sache mon opinion politique plutôt qu’il récupère mes informations bancaire pourtant, pas toi ?
Alors tu peux l’appeler “donnée à caractère hautement personnel” si tu veux vu qu’ils veulent créer une catégorie spéciale qui, il me semble, n’existe pas encore.
Vu que tout prend du temps en France, et en Europe. La CNIL a déjà fait de nouvelles recommandation sur le sujet.
#14
Une adresse email qui fuite peut entrainer des conséquences sur la sécurité, voilà pourquoi il est recommandé d’utiliser le 2FA.
C’est ce que j’ai fait en prévention, même si j’utilisais déjà un mot de passe robuste.
#15
C’est l’accès à une adresse e-mail qui peut poser problème, pas la connaissance de l’adresse elle-même. Car sinon, je crois qu’on arrêterait tous d’utiliser le mail depuis des lustres !
En tout cas, oui, le 2FA est un bon moyen de sécurisation, surtout pour quelque chose comme les mails (un mail corrompu, et c’est un accès potentiel à tous les services où ce mail est utilisé)
#15.1
La connaissance d’une adresse mail permet de faire du phishing, et si tu as d’autres informations personnelles, c’est encore mieux.
#15.2
Certes. Cependant, il n’y a malheureusement pas besoin d’avoir une violation de données pour recevoir du phishing. Donc ce n’est pas la fuite qui génère le risque, mais la simple utilisation de son adresse e-mail pour communiquer.