Commentaires : La Fnac, victime d'une usurpation d'identité à des fins malhonnêtes, prévient ses clients

La société a envoyé un courrier électronique à l’ensemble de ses clients, mardi après-midi, pour les inciter à la prudence. Il n’y aurait aucune fuite de données, selon l’enseigne.

C’est devenu la règle ou quoi, chaque semaine on entend des fuites de données par ci par là, puis il viennent nous dire qu’il faut pas s’inquiéter, ça montre que c’est pas du tout sécurisé, est que ça ne le sera jamais.

Je crois que tu n’as pas compris de quoi on parle. Genre pas du tout.
Les fuites de données et les campagnes de phishing, c’est pas la même chose.

2 J'aime

Moi je parlais en général, les fuites de données l’usurpation d’identité, les fuites de smartphones, de concepts, d’avant première etc tout fuite dernièrement, ces devenu monnaie courante, alors que ce n’est pas censé arriver, donc ça pose la question de la sécurité, de mauvaises intentions ou simple bêtises humaine.
Sinon pour le soit disant « phishing » pose toi la question ptit génie, pourquoi " La société a envoyé un courrier électronique à l’ensemble de ses clients, pour les inciter à la prudence. Il n’y aurait aucune fuite de données, selon l’enseigne" !???

Moi je parlais en général, les fuites de données l’usurpation d’identité, les fuites de smartphones, de concepts, d’avant première etc tout fuite dernièrement, ces devenu monnaie courante, alors que ce n’est pas censé arriver,

La réalité, c’est plutôt que c’est sensé arriver… mais qu’on essaye de faire toute ce qu’on peut pour l’empêcher.

Il faut comprendre que l’informatique n’est pas un univers mathématique théorique, mais un objet concret. Donc pas un monde parfait.

Pourquoi c’est sensé arriver ? Parce que c’est les statistiques qui nous le prouvent : Même le meilleur des programmeurs produit un certain nombre de bugs et failles. Et même en faisant vérifier le code par une armée de gens, on ne trouve pas tout.
Et encore, je n’évoque même pas l’ingénierie sociale, c’est à dire les bogues relatifs a l’unité qui se trouve entre la chaise et le clavier.

Comme on dit, errare humanum est. Et cela prends tout son sens dans des objets de la complexité d’un ordinateur.

1 J'aime

Écoute, petit génie, le phishing ne nécessite en aucun cas une fuite de données de la part de l’entreprise qui est imitée pour phisher. Une telle fuite n’est nécessaire que pour cible uniquement et précisément les clients de l’enseigne, ou pour inclure des choses comme un numéro client dans le mail.
En pratique, la majorité des campagnes de phishing ciblent au hasard, et tombent sans difficulté sur une bonne quantité de clients de l’entreprise usurpée. Je ne compte plus les fois où j’ai reçu des phishing d’opérateurs mobile/internet, de compagnies de jeux vidéos, chez qui je n’ai jamais eu de compte.
Et même concernant le numéro client, encore faut-il vouloir mettre le vrai. En général ils en mettent un faux et la plupart des gens n’y voient que du feu.

1 J'aime

T’a raison, je me suis gouré. j’ai pensé que la Fnac avait été hacké, et qu’ils ont voulu maquiller ça en phishing, à cause du fait de dire qu’il n’y’a pas eu de fuites de données dans leur mail, j’ai oublié qu’il parlaient à la majorité des gens qui ne sont pas initié et qui pourraient prendre ça pour une fuite de sécurité, alors que le phishing n’a rien à voir avec ça, désolé.

2 J'aime

Il s’agit de hameconnage, ok, mais par contre certains internautes ont affirmé que leur nom et prénom était bien renseignée dans le corps de l’email. Une idée de comment c’est possible?

Oh, ce n’est pas bien compliqué, dans certains annuaires mails, le nom prénom est accolé à l’adresse email, donc quand l’adresse email à été récupérée par les « phisheurs » (ceux qui envoient le phishing), ils ont eu aussi le nom prénom. Certains ont des email qui ressemblent à titi.toto@email.com, du coup les pirates dans le leur programme prennent le prénom est titi et le nom toto.
Enfin, les « phisheurs » ont récupéré les emails soit par une fuite de données sur un site internet chez qui tu avais créé un compte, soit le site a donné/revendu tes infos à un tiers, genre la régie publicitaire qui met de la pub dessus. Et comme tu as accepté la politique de confidentialité du site (sans la lire), ton mail est déjà parti un peu partout.
Firefox est capable de te dire si ton email à déjà fuité.
J’ai un vieil email qui a dû fuiter une dizaine de fois déjà, du coup je m’en fous de le donner, je sais que ça ne va pas me faire plus de spam que ce que j’ai déjà dessus.

Pas de fuite de données, ça me parait étrange quand même.
Un collègue a reçu ce fameux mail de phishing (très bien fait d’ailleurs), et l’adresse de facturation était bien l’adresse qu’il avait enregistré par défaut sur le site de la FNAC, qui est un mélange de son nom, mais avec l’adresse postale de la société.

D’après ses dires c’était le seul site où il avait fait ça quelques mois avant pour une livraison en semaine.
Je me demande comment ils ont pu avoir ces infos du coup…

D’un cote je suis d’accord, de l’autre il me semble que la securite n’est pas prise au serieux voir meme envisagee dans beaucoup de boites, j’ai fait un peu de pentest comme passe-temps et beurk…! Beaucoup des failles +/- critiques que j’ai vues pouvaient etre corriges par de simples scripts / tests d’integrations web generalistes, donc meme sans parler du risque entre la chaise et l’ecran, on est clairement en retard par rapport a ce qu’on pourrait faire si on y faisait un peu plus attention.

Oui je confirme…
J’ai reçu une fois ( il y a déjà un bon moment, 1 an ou 2) , un truc dans le genre commande Fnac, avec mon mail valide accompagné de mon nom et adresse postale !!!
Il n’y avait bien évidemment aucune trace dans mon compte Fnac ( puisque j’en ai un)…

Par contre, aucune idée pour savoir comment le piratage a été réalisé ?..aucune récidive à ce jour.

A priori, d’après https://haveibeenpwned.com/ , ma boite est clean.