Heartbleed : Darty va contacter les clients potentiellement touchés

Heartbleed : Darty va contacter les clients potentiellement touchés

Et de un !

Avatar de l'auteur
David Legrand

Publié dans

Internet

11/04/2014 3 minutes
28

Heartbleed : Darty va contacter les clients potentiellement touchés

Comme nous l'avons évoqué dans un précédent article, la faille Heartbleed a touché de nombreux services, certains étant assez largement utilisés en France. Darty, qui avait tardé à corriger la faille sur son serveur sécurisé, vient de nous confirmer que les clients seraient finalement avertis. Tout le monde fera-t-il de même ?

Après une semaine difficile pour les administrateurs systèmes qui ont dû mettre à jour en quatrième vitesse tous leurs services exploitant une version d'OpenSSL touchée par Heartbleed, vient le temps des retombées. Comme nous l'évoquions dans un précédent article, de nombreux sites français ont été touchés, et pour le moment rares sont ceux qui ont communiqué ouvertement sur le sujet.

 

Il faut dire que la CNIL n'a pas encore mis le nez dans cette affaire, et qu'elle n'impose une communication en cas de fuites de données que dans le cas des opérateurs de téléphonie mobile et des FAI. Une situation qui pourrait d'ailleurs changer assez rapidement puisque les CNIL européennes sont en train de chercher à étendre ces obligations à l'ensemble des services en ligne. Un point sur lequel nous reviendrons prochainement.

 

Quoi qu'il en soit, le silence est pour le moment de mise chez tous ceux dont nous avons constaté qu'ils avaient été touchés par la faille, laissant des données personnelles ou des identifiants / mots de passe fuiter. C'était le cas de Darty, dont nous avions relevé qu'ils avaient laissé leurs serveurs non patchés en ligne pendant près de 48 heures, sans la moindre communication une fois que tout avait été corrigé.

 

 

Après plusieurs demandes de notre part, le compte Twitter officiel du revendeur nous a confirmé que les clients potentiellement touchés seront contactés, soit tous ceux qui se sont connectés entre lundi et mercredi. Le contenu ou la forme de cette communication ne nous a pas été confirmé, si ce n'est pour nous indiquer qu'il sera conseillé de mettre à jour le mot de passe du compte. Si jamais vous venez à la recevoir, n'hésitez pas à nous le faire savoir.

 

Reste maintenant tous les autres. Et c'est sans doute cela qui va se jouer la semaine prochaine. Le sérieux des différents acteurs concernés et leur capacité à communiquer autour d'un problème si grave, et d'apporter des solutions à leurs clients seront mis à rude épreuve. Espérons que les pouvoir publics et la CNIL joueront alors tout leur rôle.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (28)


Tumblr vient de communiquer aussi, par mail


Oculus VR aussi. J’ai reçu un mail hier soir où ils conseillent de changer les mots de passe.


C’est passé sur TF1 non?



Alors c’est bon la populace est au courant.


darty contrat de confiance de defiance. <img data-src=" />


NXi…

Ça rend bien


Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />








vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />





En même temps, si on commence à contacter tous ceux qui ont potentiellement été touchés depuis 2 ans, on peut juste envoyer un mail à 90 % des internautes <img data-src=" />



C’est surtout que là le risque de fuite a été décuplé sur cette période là, du coup il vaut mieux déjà contacter ces utilisateurs en particulier. Pour le reste, il va y avoir des règles générales à suivre.









vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />





Tu te rends pas compte, ça représente surement déjà beaucoup de travail.

Alors contacter tous les clients…

…et puis c’est pas grave si la NSA (ou autre) touche aux comptes Darty… <img data-src=" />



LEAP Motion aussi a comuniqué par mail pour changer ses mdp








vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !





tu te plaindrais qu’ils aient laissé leurs clients se connecter avec id et mp sur leur site non patché, ça serait légitime



Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />



mais là, ils auraient tort de se priver <img data-src=" />









vortex33 a écrit :



Ils sont marrants chez Darty… ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d’OpenSSL qui date de 2 ans !

Bien évidemment, leur serveur n’a pu être exploité via cette faille qu’entre lundi et mercredi, c’est évident… tout comme le nuage de Tchernobyl qui s’est arrêté à nos frontières…



Franchement, ils nous prennent vraiment pour des jambons <img data-src=" />







J’ai pas le souvenir que tu nous aies prévenus il y a 2 ans <img data-src=" />



Comment ça se fait que les identifiants et mots de passe sont envoyés en clair ?

Moi j’ai toujours mis en place un système qui renvoi un hash de l’identifiant, du mot de passe et d’un grain de sable généré aléatoirement toutes les minutes en fonction de la date et heure.

En clair le hash à une durée de vie d’une minute et connu du serveur. Assez de temps pour lancer une connexion.

La date est l’heure relevées sont celles du serveur pour éviter d’avoir un décalage avec l’heure du client local.


La faille existe depuis 2 ans et ils ne contactent que ceux qui se sont connectés entre lundi et mercredi ?

<img data-src=" />



On voit le niveau du security officer de chez Darty








taralafifi a écrit :



Comment ça se fait que les identifiants et mots de passe sont envoyés en clair ?

Moi j’ai toujours mis en place un système qui renvoi un hash de l’identifiant, du mot de passe et d’un grain de sable généré aléatoirement toutes les minutes en fonction de la date et heure.

En clair le hash à une durée de vie d’une minute et connu du serveur. Assez de temps pour lancer une connexion.

La date est l’heure relevées sont celles du serveur pour éviter d’avoir un décalage avec l’heure du client local.





Ce n’est pas envoyé en clair, puisque ça passe par OpenSSL <img data-src=" />



Est-ce qu’il y aurait une liste plus ou moins exhaustive de sites qui sont touchés ou qui ne le sont pas pour qu’on puisse changer les mots de passe ?



<img data-src=" />


Tu as des listes comme celle-ci :&#160https://gist.github.com/dberkholz/10169691



Mais le plus simple est de partir du principe que tous les sites sont touchés.








yellowiscool a écrit :



Tu as des listes comme celle-ci :&#160https://gist.github.com/dberkholz/10169691



Mais le plus simple est de partir du principe que tous les sites sont touchés.







Ok merci pour l’info. J’ai trouvé cette liste pour ceux que ça intéresserait mais elle est un peu “ancienne” :

https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt



Il s’agit des 1000 sites les plus visités (alexa).









herbeapipe a écrit :



Est-ce qu’il y aurait une liste plus ou moins exhaustive de sites qui sont touchés ou qui ne le sont pas pour qu’on puisse changer les mots de passe ?



<img data-src=" />





Déjà dit, mais une liste n’a pas de sens, surtout si tu utilises un mot de passe sur plusieurs comptes. Sans parler du fait qu’une liste est forcément incomplète, sans parler des différents serveurs de paiement / d’auth des banques, etc.



Le 12/04/2014 à 10h 24

Pendant ce temps personne ne parle du crach du Nasdaq, une nouvelle bulle internet est en train d’exploser. Twitter, Facebook et toutes ces conneries.

Enfin si, Nextinpact en parlera dans une semaine…


Le lien “Comme nous l’évoquions dans un précédent article,” ne fonctionne pas et c’est ; http: //www.pcinpact.com/news/Comme%20nous%20l%27avons%20%C3%A9voqu%C3%A9%20dans%20un%20pr%C3%A9c%C3%A9dent%20article,%20la%20faille%20Heartbleed%20a%20touch%C3%A9%20de%20nombreux%20services,%20certains%20%C3%A9tant%20assez%20largement%20utili%C3%A9s%20en%20France.%20Darty,%20qui%20avait%20tard%C3%A9%20%C3%A0%20corriger%20la%20faille%20sur%20son%20serveur%20s%C3%A9curis%C3%A9,%20vient%20de%20nous%20confirmer%20que%20les%20clients%20seraient%20finalement%20avertis.%20Tout%20le%20monde%20fera-t-il%20de%20m%C3%AAme



<img data-src=" /><img data-src=" /><img data-src=" />



Ce qui confirme aussi une observation très fréquente : certains types de liens (verification en particulier) sont peu lus et pris pour acquis.








millcaj a écrit :



Le lien “Comme nous l’évoquions dans un précédent article,” ne fonctionne pas et c’est ; http: //www.pcinpact.com/news/Comme%20nous%20l%27avons%20%C3%A9voqu%C3%A9%20dans%20un%20pr%C3%A9c%C3%A9dent%20article,%20la%20faille%20Heartbleed%20a%20touch%C3%A9%20de%20nombreux%20services,%20certains%20%C3%A9tant%20assez%20largement%20utili%C3%A9s%20en%20France.%20Darty,%20qui%20avait%20tard%C3%A9%20%C3%A0%20corriger%20la%20faille%20sur%20son%20serveur%20s%C3%A9curis%C3%A9,%20vient%20de%20nous%20confirmer%20que%20les%20clients%20seraient%20finalement%20avertis.%20Tout%20le%20monde%20fera-t-il%20de%20m%C3%AAme



<img data-src=" /><img data-src=" /><img data-src=" />



Ce qui confirme aussi une observation très fréquente : certains types de liens (verification en particulier) sont peu lus et pris pour acquis.









rien compris???

<img data-src=" /><img data-src=" /><img data-src=" />









pyro-700 a écrit :



rien compris???

<img data-src=" /><img data-src=" /><img data-src=" />





ben essaie de clicquer sur le lien

<img data-src=" />









millcaj a écrit :



Le lien “Comme nous l’évoquions dans un précédent article,” ne fonctionne pas et c’est ; http: //www.pcinpact.com/news/

Ce qui confirme aussi une observation très fréquente : certains types de liens (verification en particulier) sont peu lus et pris pour acquis.







Bonsoir,



Le lien est corrigé.



Pour rappel et par souci d’efficacité, un outil de signalement des erreurs est visible en bas de chaque actualité, qui envoie un e-mail à l’ensemble des membres de la rédaction.



Dans le cas des commentaires, si j’étais pas passé voir par hasard, ça aurait pu rester longtemps <img data-src=" />



Mais merci quand meme pour le signalement









Winderly a écrit :



Tu te rends pas compte, ça représente surement déjà beaucoup de travail.

Alors contacter tous les clients…

…et puis c’est pas grave si la NSA (ou autre) touche aux comptes Darty… <img data-src=" />





Ce serait plus simple de mailer tous les clients d’un coup et leur faire changer leur mot de passe… un mailing global ne coute rien.

Mieux, ça montre qu’on tient à ses clients.









Yzokras a écrit :



Pendant ce temps personne ne parle du crach du Nasdaq, une nouvelle bulle internet est en train d’exploser. Twitter, Facebook et toutes ces conneries.

Enfin si, Nextinpact en parlera dans une semaine…





Oh non je ne pense pas qu’on en soit à l’explosion de la bulle. Ça pourra arriver, mais pas pour le moment.

Ce ne sont que des corrections après un emballement généralisé pour des conneries éphémère comme Facebook et cie plus des créateurs de jeux à la con valorisé n’importe comment.

Et là ce sont plutôt les biotechnologies qui dévissent









Yzokras a écrit :



Pendant ce temps personne ne parle du crach du Nasdaq, une nouvelle bulle internet est en train d’exploser. Twitter, Facebook et toutes ces conneries.

Enfin si, Nextinpact en parlera dans une semaine…







C’est le moment d’acheter du Google <img data-src=" />









David_L a écrit :



Déjà dit, mais une liste n’a pas de sens, surtout si tu utilises un mot de passe sur plusieurs comptes. Sans parler du fait qu’une liste est forcément incomplète, sans parler des différents serveurs de paiement / d’auth des banques, etc.







Merci David pour la précision :)



Pour les différents sites qui ne communiquent pas (la plupart en fait), si il n’y pas de “https”, c’est que openssl n’est pas utilisé et donc qu’il n’y a pas de risque ? Je sais que c’est une question “noob” mais tant pis :)









herbeapipe a écrit :



Merci David pour la précision :)



Pour les différents sites qui ne communiquent pas (la plupart en fait), si il n’y pas de “https”, c’est que openssl n’est pas utilisé et donc qu’il n’y a pas de risque ? Je sais que c’est une question “noob” mais tant pis :)





Rien n’empêche qu’ils en aient à usage interne et ça pourrait être pire :

fuite des comptes d’admin par exemple.