Plusieurs lecteurs nous ont récemment indiqué que LDLC avait désactivé leur mot de passe, évoquant une sécurité de compte compromise. Le revendeur se veut rassurant : aucune faille de sécurité n'est à déplorer. En réalité, il cherchait à réactiver de vieux comptes.
La semaine dernière, LDLC alertait certains de ses clients et les incitait à changer leur mot de passe dans un email diffusé apparemment de manière assez large. Le ton se voulait à la fois rassurant et alarmiste, ce qui a créé une certaine confusion chez les destinataires :
« Chez LDLC, la protection de vos données et la sécurité de vos informations personnelles sont une priorité. C’est pourquoi, après avoir trouvé la mise en libre consultation d’une liste d’e-mails et de mots de passe sur internet, nous pensons que la sécurité de votre compte est compromise. Par précaution et pour vous protéger de toute intrusion, nous avons désactivé votre mot de passe.
Pour accéder de nouveau à votre compte, il vous suffit d’enregistrer un nouveau mot de passe si possible encore jamais utilisé sur d’autres sites. Pour cela :
- Cliquez sur la partie « Mon Compte » en haut à droite de toutes nos pages.
- Cliquez sur le lien « mot de passe oublié » au-dessus du bouton « Connexion ».
- Suivez les instructions pour créer un nouveau mot de passe.
Nous vous remercions pour votre compréhension et vous prions de bien vouloir nous excuser pour ce désagrément.
À très bientôt sur notre site, L'équipe LDLC »
Un email alarmiste, mais pas de faille
Le revendeur n'évoquait alors pas de fuite de donnée spécifique à son service, mais plutôt d'une liste de mots de passe liés à des adresses email qui circulent sur internet. Plusieurs clients nous ont néanmoins contactés, sans doute inquiétés par la désactivation forcée de leur mot de passe et l'affirmation « nous pensons que la sécurité de votre compte est compromise ».
Nous avions alors interrogé LDLC qui nous a rapidement confirmé qu'il « s'agit d'un principe de précaution suite à la découverte de cette liste sur internet comportant des mails identiques à nos clients (qui utilisent souvent les mêmes MDP). La liste/fuite ne provient pas de chez nous ».
Un principe de précaution qui ne concerne que de vieux comptes
Nous avons cependant été étonnés de voir certains clients indiquer sur Twitter que l'adresse email touchée était propre à la boutique en ligne. Nous avons donc là encore interrogé LDLC concernant le nombre de personnes concernées, et la façon dont elles ont été sélectionnées.
Et finalement, il semblerait que le ciblage ait été bien plus basique qu'une correspondance entre la liste de clients du groupe et des emails ayant fuité sur internet. Nous n'avons d'ailleurs pas pu obtenir de précisions concernant ladite fuite.
« Cette campagne de réinitialisation de mot de passe a été envoyée à 200 000 clients « inactifs ». Les comptes inactifs sont des comptes clients avec au moins une commande passée il y a plus de 12 mois. Comme l’explique le community manager, cette campagne est préventive » nous a répondu le service presse.
Nous avons demandé au revendeur si des comptes actifs ont été également contactés, cela ne semble pas avoir été le cas, contrairement à ce qu'a affirmé un temps le compte Twitter officiel.
Ainsi, derrière cette campagne qui utilise pourtant un ton assez alarmiste, il ne s'agirait surtout que de réactiver des comptes d'anciens utilisateurs n'ayant pas passé de commande depuis au moins un an. Ils auront au moins été sensibilisés sur la question de la gestion de leurs mots de passe un peu avant les repas de fêtes.
Commentaires (31)
#1
Parfait. Voilà une pratique plutôt saine et qui rassure le client
" />
#2
ou c’est un moyen de dégraissé leur base de donnée ?, exemple ceux qui ne réactive pas dans les X mois voient leur compte définitivement supprimer ?
#3
plus d’un an que j’ai pas commandé chez eux, et rien reçu…
#4
J’ai changé moi-même mon mdp chez eux le mois dernier avant de passer deux nouvelles commandes (j’arrivais plu à m’en souvenir), donc pas concerné…
Mais bon, c’est toujours bien de prendre ce genre de précaution, surtout qu’il y a eu une fuite dans le base client, d’après ce que j’ai compris de l’article.
#5
j’ai commandé début octobre et j’ai reçu le mail…
#6
C’est un bon moyen de faire revenir les vieux clients et booster les ventes xD
#7
Pareil pour moi, ma dernière commande sur LDLC date du 19 Juillet 2017 (pile 5 mois) et j’ai quand même reçu le mail le 14 décembre.
La définition de compte inactif est donc à revoir.
#8
Euhh…
Le mail + la première réponse = on réinitialise des mots de passe fuités mais pas par nous (ce qui donne envie de dire bravo). Des gens font remarquer que certaines infos sont spécifiques à LDLC, et là, changement de comm, on trouve une explication qui n’implique pas de fuite (mais qui n’a absolument rien à voir avec la précédente).
Je trouve ça très très louche (mais je suis parano)
#9
C’est ce que je pense aussi…
" />
J’ai reçus le mail et je n’avais plus commandé chez eux depuis 2016.
Je ne me rappelai plus d’avoir un compte chez eux en fait
#10
il ne s’agirait surtout que de réactiver des comptes d’anciens utilisateurs n’ayant pas passé de commande depuis au moins un an
Quel est l’intérêt ? Gonfler le nombre de clients actifs ?
Merci NXi de faire le SAV de LDLC
#11
Légalement ils ne peuvent pas supprimer définitivement un compte. Désactiver uniquement :)
#12
nous pensons que la sécurité de votre compte est compromise.
Un “peut-être” ou “potentiellement” juste avant compromise aurait peut-être moins alarmé les gens.
Sorti de ça le message me semble assez clair.
#13
Mauvaise sélection du coup, il aurait fallu contacter selon la dernière modification de mot de passe et non la date du dernier achat..
Un client actif qui n’a pas changé son mot de passe depuis plus de 12 mois ne bénéficie pas de de la “sensibilisation”.
C’est vraiment juste une excuse marketing..
#14
Il y a peut-être une confusion de la part de ceux qui on dit avoir reçu le message alors qu’ils utilisent un mail spécifique pour LDLC.
Perso j’ai reçu un mail de leur part le 14 décembre, proche mais différent de celui en copie dans l’article (il ne dit pas que mon mail a été trouvé sur une liste) :
—————————————————————————
Bonjour XXXXXXX XXXXXXXXX
données et la sécurité de vos informations personnelles sont une
priorité, c’est pourquoi nous avons mis en place une désactivation des
mots de passe des comptes inutilisés depuis plus d’un an.
compte, il vous suffit d’enregistrer un nouveau mot de passe. Pour cela :
jamais utilisé sur d’autres sites.
compréhension et vous prions de bien vouloir nous excuser pour ce
désagrément.
#15
TOUS les sites devraient faire ceci ((genre 5 ans d”inactivité=supprimé)
" />
p.c.q. : y-a des sites dont je me NE souviens plus* y avoir mit les pieds
et pourtant j”y suis, tjrs., comptabilisé comme “client”…pff !!!
(après c’est facile d’annoncer fièrement “…nous avons 300 millions de clients” !
* tellement longtemps
#16
Toutes les données datant de 1 ans et plus peuvent être supprimées, légalement. Même si personne le fait, cela peut se faire légalement.
#17
Commande passée chez eux en début d’année et quand même reçu le dit mail…
#18
On va creuser ça, mais ça conforterai l’idée de deux mails différents, dont un qui a été envoyé à de vieux comptes. Mais bon ce n’est pas le retour qu’on a eu de la part de LDLC… on va relancer.
#19
#20
Certes, LDLC doit surement garder sans limite les données, mais légalement LDLC pourrait, en théorie, supprimer celles datant de plus d’un an.
#21
#22
Supprimer un compte, c’est tout à fait possible, suffit de les (pas que LDLC, tous les sites en général) harceler.
https://www.cnil.fr/fr/modeles/courrier
#23
c’est pour ça que j’ai dit “5 ans” !
" />
(y-a de la marge)
#24
Sauf erreur de ma part, il y a même une recommandation (obligation? je sais plus) de la CNIL de supprimer ou archiver les comptes inactifs après un certain délai.
#25
En passant, je trouve ça bien que les sites inutilisés pendant 1 ans virent les mots de passe. Je trouve même qu’ils devraient obligatoirement virer toutes les informations au bout d’un moment mais bon… Si la seule contrepartie c’est qu’ils envoient un mail de relance pour signaler qu’ils existent, perso ça me va.
#26
Rien recu … mais mon compte en fonctionnait plus. J’ai du passer par “oubli du mot de passe” …
Je comprends mieux.
#27
Ce serait conforme à ce que demande la CNIL !
#28
Pour ma part: j’ai reçu l’email alors que j’ai passé commande en 2017. Le service client m’a tenu un discours peu cohérent, et je suis loin d’être le seul visiblement. J’ai pourtant demandé explicitement si des données liées à mon compte avaient fuité chez LDLC. À la lecture de cet article, je suis convaincu que c’est le cas, et que leur réponse négative est un mensonge.
#29
jolie coup marketing de rappeler aux clients inactifs de faire les courses pour noël chez LDLC. 
" />
#30
C’est clair, LDLC veut acheter ses concurrents materiel.net alors il faut des sous !!!
" />
" />
Mon compte est actif et le password a été reseté.
Quelle technique nauséabonde.
Le password c’est une donnée à moi, pas touche !!
Ils feraient mieux de se payer un SAV plutôt… mais pas avec mes sous.
LDLC bof quoi
#31