CDiscount, Darty, LDLC : des mots de passe dans la nature ? (màj)

le vendredi 23 janvier 2015
Dernièrement, un lecteur nous a fait remonter une information qui avait échappé à notre vigilance. Elle concerne des usurpations d'identité sur des sites marchands. Le vol de données de connexion n'est pas nouveau, non. Mais le fait qu'une liste d'identifiants et mots de passe circule à l'air libre est nettement moins habituel. Y a-t-il péril dans la demeure ? Comment réagissent CDiscount, Darty et LDLC ? Quels conseils faut-il prodiguer - encore une fois - pour se prémunir ?


Mise à jour du vendredi 23 janvier, à 22h12 :

Nous venons de recevoir la réponse de Darty. Comme chez LDLC, l'analyse penche également sur un problème de phishing. Mais là, les explications se font encore plus précises.

« Ce problème est lié à une campagne de phishing : des pirates informatiques avaient envoyé en septembre dernier des mails usurpant l'identité de Darty, qui invitaient les clients et non clients de l'enseigne à télécharger une fausse facture d'un article qu'ils n'avaient pas commandé. Le PDF exécuté était en réalité un .exe qui contenait un cheval de Troie (Bloodhound.Malautoit) qui se propage à travers les disques locaux et réseau. Les services relations clients et les magasins ont été alertés aussitôt afin de répondre aux inquiétudes des personnes concernées.

Sur les 100 adresses et mots de passe publiés sur le site, 79 étaient des comptes Darty répertoriés les autres ne concernent pas l'enseigne.

Darty a désactivé les mots de passe des clients concernés et les a informés de cette mesure. Les clients ont reçu des directives de sécurité pour créer un mot de passe hautement sécurisé.»


L'enseigne en profite pour rassurer sur la sécurisation de ses infrastructures : les donnees stockées en base sont chiffrées de manière non réversible. Il ne s'agit donc pas d'une fuite de son côté.


Article original, publié le jeudi 22 janvier 2015, à 15h31 :

Avant toute chose, il n'est aucunement question de pointer du doigt tel ou tel site marchand. CDiscount, Darty et LDLC ont été visés dans un listing publié sur Pastebin.com (puis dé-publié), mais la mésaventure aurait pu concerner n'importe qui. Reprenons le fil de l'histoire.

07868411-photo-pastebin-illustration-2.jpg

Le 16 janvier 2015, un inconnu a posté une liste d'identifiants (des adresses email) avec les mots de passe associés sur le site Pastebin.com. Intitulée « Compte LDLC DARTY CDISCOUNT », l'énumération totalisait alors 305 lignes, 100 entrées par site marchand. Mais qu'est-ce que Pastebin.com ? C'est une application Web qui sert à copier et partager des grandes quantités de texte. Le service est principalement utilisé par les programmeurs pour échanger des extraits de code source, pour une durée limitée, et éventuellement protégés par mot de passe.

01c2000007868145-photo-pastebin-listing.jpg
Extrait du listing tel qu'on pouvait le voir sur Pastebin avant qu'il ne soit supprimé

La plateforme aide les programmeurs, mais elle ne peut s'assurer de la bienveillance ou de l'à-propos de ses usagers. Outre le relais de messages activistes (comme celui des Anonymous pour l'#OPCharlieHebdo), Pastebin voit également passer de nombreux contenus douteux. A tel point que le site est obligé de l'écrire en rouge et en gras dans sa FAQ « Merci de ne pas poster des listings d'emails, des détails de login, des codes source volés, des listes de mots de passe, etc. ». Apparemment, le message n'est pas toujours écouté.

01c2000007868117-photo-pastebin-faq.jpg
Les FAQ de Pastebin montrent que le site n'a pas la totale maîtrise de ce que les gens y publient

Et visiblement, quelques-uns de ces identifiants au moins étaient valides, puisqu'un lecteur nous a fait remonter l'information après qu'il a constaté s'être fait hacker son compte LDLC.

00b4000007868189-photo-laurent-de-la-clergerie.jpg
Laurent de la Clergerie
Nous avons donc cherché à contacter les trois sites marchands visés pour en savoir plus. La direction de la communication de CDiscount est restée vague, en nous disant simplement ceci : « Le site est hyper sécurisé, nous n'avons aucun problème avec ça et il n'y en aura pas. On fait ce qu'il faut pour protéger les logins et les comptes de nos clients. » Du côté de Darty, on attend encore la réponse, cet article sera mis à jour le cas échéant. En revanche, Laurent de la Clergerie, fondateur et PDG de LDLC, s'est montré particulièrement loquace sur le sujet, et intéressant.

Il nous a d'abord confié sa grande surprise de voir pareil listing rendu public et accessible à n'importe qui sur un site aussi fréquenté que Pastebin.com. L'existence de ce genre de document n'est pas un fait nouveau, mais d'habitude pour les trouver, il faut se diriger vers des sites pirates qui servent de plateforme à l'achat et la revente d'informations. Nettement moins grand public.

LDLC a donc décidé de tester les 100 entrées du listing. Certaines adresses email n'existaient pas dans les bases de données du site marchand. D'autres existaient, mais le mot de passe associé n'était pas correct. Enfin, certaines entrées correspondaient bien à des comptes clients réels (qui ont été désactivés sur le champ).

Les identifiants dérobés sur la fausse page d'une banque peuvent fonctionner chez LDLC, Darty, CDiscount.


Laurent de la Clergerie nous livre son interprétation des faits. Il s'agirait d'un extrait de fichier de phishing, hameçonnage que l'auteur aurait entrepris lui-même ou compilé sur la base de vols opérés un peu partout, mais pas spécifiquement auprès de clients LDLC, ni Darty ou CDiscount d'ailleurs. Le hasard fait bien les choses quand la sécurité est poreuse, et comme beaucoup de gens utilisent le même mot de passe pour tous leurs accès sécurisés (sites marchands, emails, réseaux sociaux, plateformes administrative, services bancaires, etc.), les identifiants dérobés sur la fausse page d'une banque par exemple peuvent fonctionner chez LDLC, Darty, CDiscount, ou n'importe quel autre site marchand.

Voilà qui rappelle l'importance de bien diversifier ses mots de passe, par site idéalement, ou par type d'activité Web a minima. Et surtout, de bien cloisonner les mots de passe à risques, ceux utilisés dans des domaines sensibles comme les emails (qui servent à la récupération de tous les autres), les banques ou encore les impôts. Notre guide sur la sécurité des mots de passe publié l'année dernière est malheureusement toujours d'actualité.

0280000007458837-photo-nuage-de-mots-de-passe.jpg


Maintenant, que risque un usager qui se fait subtiliser ses données de connexion à un site marchand ? A écouter la direction de LDLC, pas grand-chose. Techniquement, si le pirate arrive à se connecter au compte d'un client réputé fiable (qui dispose d'un « historique de commande sans aucun souci » nous précise-t-on), il faut qu'il change l'adresse de livraison et se fasse livrer du matériel, en échappant aux contrôles de sécurité, grâce à un numéro de carte bleue volé (puisque LDLC ne stocke pas d'information bancaire). Laurent de la Clergerie se montre rassurant : « Ce genre de fraude (qui arrive) est aujourd'hui systématiquement stoppée car si un client change son adresse de livraison, nous ne le considérons plus comme fiable à cause de ce genre d'intrusion trop facile avec les nombreux phishing où les gens se font régulièrement avoir. »

Mais ce qui est vrai pour un site ne l'est pas forcément pour tous. Et notamment pour des acteurs comme Amazon qui incitent à l'enregistrement des coordonnées bancaires, pour des raisons de commodité, certes, réelle mais risquée à la lumière de cette histoire. D'autant qu'il n'est pas sûr qu'un changement d'adresse postale mette tous les commerçants en branle-bas de combat.

Laurent de la Clergerie, visiblement très concerné par le sujet, finit par inviter tout un chacun à déclarer les emails de phishing sur http://www.phishing-initiative.com/, un site cofinancé par l'Union Européenne. Plus tôt la fraude sera repérée, moins elle fera de victimes. Si l'url soumise n'est pas reconnue, il est également possible de transférer le mail de phishing complet à l'adresse contact@phishing-initiative.com.

Modifié le 01/06/2018 à 15h36
scroll top