Plusieurs lecteurs nous ont récemment indiqué que LDLC avait désactivé leur mot de passe, évoquant une sécurité de compte compromise. Le revendeur se veut rassurant : aucune faille de sécurité n'est à déplorer. En réalité, il cherchait à réactiver de vieux comptes.
La semaine dernière, LDLC alertait certains de ses clients et les incitait à changer leur mot de passe dans un email diffusé apparemment de manière assez large. Le ton se voulait à la fois rassurant et alarmiste, ce qui a créé une certaine confusion chez les destinataires :
« Chez LDLC, la protection de vos données et la sécurité de vos informations personnelles sont une priorité. C’est pourquoi, après avoir trouvé la mise en libre consultation d’une liste d’e-mails et de mots de passe sur internet, nous pensons que la sécurité de votre compte est compromise. Par précaution et pour vous protéger de toute intrusion, nous avons désactivé votre mot de passe.
Pour accéder de nouveau à votre compte, il vous suffit d’enregistrer un nouveau mot de passe si possible encore jamais utilisé sur d’autres sites. Pour cela :
- Cliquez sur la partie « Mon Compte » en haut à droite de toutes nos pages.
- Cliquez sur le lien « mot de passe oublié » au-dessus du bouton « Connexion ».
- Suivez les instructions pour créer un nouveau mot de passe.
Nous vous remercions pour votre compréhension et vous prions de bien vouloir nous excuser pour ce désagrément.
À très bientôt sur notre site, L'équipe LDLC »
Un email alarmiste, mais pas de faille
Le revendeur n'évoquait alors pas de fuite de donnée spécifique à son service, mais plutôt d'une liste de mots de passe liés à des adresses email qui circulent sur internet. Plusieurs clients nous ont néanmoins contactés, sans doute inquiétés par la désactivation forcée de leur mot de passe et l'affirmation « nous pensons que la sécurité de votre compte est compromise ».
Nous avions alors interrogé LDLC qui nous a rapidement confirmé qu'il « s'agit d'un principe de précaution suite à la découverte de cette liste sur internet comportant des mails identiques à nos clients (qui utilisent souvent les mêmes MDP). La liste/fuite ne provient pas de chez nous ».
Un principe de précaution qui ne concerne que de vieux comptes
Nous avons cependant été étonnés de voir certains clients indiquer sur Twitter que l'adresse email touchée était propre à la boutique en ligne. Nous avons donc là encore interrogé LDLC concernant le nombre de personnes concernées, et la façon dont elles ont été sélectionnées.
Et finalement, il semblerait que le ciblage ait été bien plus basique qu'une correspondance entre la liste de clients du groupe et des emails ayant fuité sur internet. Nous n'avons d'ailleurs pas pu obtenir de précisions concernant ladite fuite.
« Cette campagne de réinitialisation de mot de passe a été envoyée à 200 000 clients « inactifs ». Les comptes inactifs sont des comptes clients avec au moins une commande passée il y a plus de 12 mois. Comme l’explique le community manager, cette campagne est préventive » nous a répondu le service presse.
Nous avons demandé au revendeur si des comptes actifs ont été également contactés, cela ne semble pas avoir été le cas, contrairement à ce qu'a affirmé un temps le compte Twitter officiel.
Ainsi, derrière cette campagne qui utilise pourtant un ton assez alarmiste, il ne s'agirait surtout que de réactiver des comptes d'anciens utilisateurs n'ayant pas passé de commande depuis au moins un an. Ils auront au moins été sensibilisés sur la question de la gestion de leurs mots de passe un peu avant les repas de fêtes.
