Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Heartbleed : Darty va contacter les clients potentiellement touchés

Et de un !

Comme nous l'avons évoqué dans un précédent article, la faille Heartbleed a touché de nombreux services, certains étant assez largement utilisés en France. Darty, qui avait tardé à corriger la faille sur son serveur sécurisé, vient de nous confirmer que les clients seraient finalement avertis. Tout le monde fera-t-il de même ?

Après une semaine difficile pour les administrateurs systèmes qui ont dû mettre à jour en quatrième vitesse tous leurs services exploitant une version d'OpenSSL touchée par Heartbleed, vient le temps des retombées. Comme nous l'évoquions dans un précédent article, de nombreux sites français ont été touchés, et pour le moment rares sont ceux qui ont communiqué ouvertement sur le sujet.

 

Il faut dire que la CNIL n'a pas encore mis le nez dans cette affaire, et qu'elle n'impose une communication en cas de fuites de données que dans le cas des opérateurs de téléphonie mobile et des FAI. Une situation qui pourrait d'ailleurs changer assez rapidement puisque les CNIL européennes sont en train de chercher à étendre ces obligations à l'ensemble des services en ligne. Un point sur lequel nous reviendrons prochainement.

 

Quoi qu'il en soit, le silence est pour le moment de mise chez tous ceux dont nous avons constaté qu'ils avaient été touchés par la faille, laissant des données personnelles ou des identifiants / mots de passe fuiter. C'était le cas de Darty, dont nous avions relevé qu'ils avaient laissé leurs serveurs non patchés en ligne pendant près de 48 heures, sans la moindre communication une fois que tout avait été corrigé.

 

 

Après plusieurs demandes de notre part, le compte Twitter officiel du revendeur nous a confirmé que les clients potentiellement touchés seront contactés, soit tous ceux qui se sont connectés entre lundi et mercredi. Le contenu ou la forme de cette communication ne nous a pas été confirmé, si ce n'est pour nous indiquer qu'il sera conseillé de mettre à jour le mot de passe du compte. Si jamais vous venez à la recevoir, n'hésitez pas à nous le faire savoir.

 

Reste maintenant tous les autres. Et c'est sans doute cela qui va se jouer la semaine prochaine. Le sérieux des différents acteurs concernés et leur capacité à communiquer autour d'un problème si grave, et d'apporter des solutions à leurs clients seront mis à rude épreuve. Espérons que les pouvoir publics et la CNIL joueront alors tout leur rôle.

28 commentaires
Avatar de Muzikals Abonné
Avatar de MuzikalsMuzikals- 11/04/14 à 18:47:02

Tumblr vient de communiquer aussi, par mail

Avatar de Aymeric_F Abonné
Avatar de Aymeric_FAymeric_F- 11/04/14 à 19:04:42

Oculus VR aussi. J'ai reçu un mail hier soir où ils conseillent de changer les mots de passe.

Avatar de risbo INpactien
Avatar de risborisbo- 11/04/14 à 19:31:56

C'est passé sur TF1 non?

Alors c'est bon la populace est au courant.

Avatar de pyro-700 INpactien
Avatar de pyro-700pyro-700- 11/04/14 à 20:44:00

darty contrat de confiance de defiance. :ooo:

Avatar de bazarus INpactien
Avatar de bazarusbazarus- 11/04/14 à 22:13:32

NXi...
Ça rend bien

Avatar de vortex33 INpactien
Avatar de vortex33vortex33- 11/04/14 à 22:43:24

Ils sont marrants chez Darty... ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d'OpenSSL qui date de 2 ans !
Bien évidemment, leur serveur n'a pu être exploité via cette faille qu'entre lundi et mercredi, c'est évident... tout comme le nuage de Tchernobyl qui s'est arrêté à nos frontières...

Franchement, ils nous prennent vraiment pour des jambons :cartonrouge:

Avatar de David_L Équipe
Avatar de David_LDavid_L- 11/04/14 à 23:00:48

vortex33 a écrit :

Ils sont marrants chez Darty... ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d'OpenSSL qui date de 2 ans !
Bien évidemment, leur serveur n'a pu être exploité via cette faille qu'entre lundi et mercredi, c'est évident... tout comme le nuage de Tchernobyl qui s'est arrêté à nos frontières...

Franchement, ils nous prennent vraiment pour des jambons :cartonrouge:

En même temps, si on commence à contacter tous ceux qui ont potentiellement été touchés depuis 2 ans, on peut juste envoyer un mail à 90 % des internautes :D

C'est surtout que là le risque de fuite a été décuplé sur cette période là, du coup il vaut mieux déjà contacter ces utilisateurs en particulier. Pour le reste, il va y avoir des règles générales à suivre.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 12/04/14 à 05:36:59

vortex33 a écrit :

Ils sont marrants chez Darty... ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d'OpenSSL qui date de 2 ans !
Bien évidemment, leur serveur n'a pu être exploité via cette faille qu'entre lundi et mercredi, c'est évident... tout comme le nuage de Tchernobyl qui s'est arrêté à nos frontières...

Franchement, ils nous prennent vraiment pour des jambons :cartonrouge:

Tu te rends pas compte, ça représente surement déjà beaucoup de travail.
Alors contacter tous les clients...
...et puis c'est pas grave si la NSA (ou autre) touche aux comptes Darty... :transpi:

Avatar de Durandal INpactien
Avatar de DurandalDurandal- 12/04/14 à 06:17:44

LEAP Motion aussi a comuniqué par mail pour changer ses mdp

Avatar de anonyme_464d0c3f80816b3b25235c0b4ea3d7f5 INpactien

vortex33 a écrit :

Ils sont marrants chez Darty... ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d'OpenSSL qui date de 2 ans !

tu te plaindrais qu'ils aient laissé leurs clients se connecter avec id et mp sur leur site non patché, ça serait légitime

Bien évidemment, leur serveur n'a pu être exploité via cette faille qu'entre lundi et mercredi, c'est évident... tout comme le nuage de Tchernobyl qui s'est arrêté à nos frontières...

Franchement, ils nous prennent vraiment pour des jambons :cartonrouge:

mais là, ils auraient tort de se priver :roll:

Édité par _fefe_ le 12/04/2014 à 06:49
Il n'est plus possible de commenter cette actualité.
Page 1 / 3