Nouveautés
18795

Non, digitec et Galaxus n'ont pas été piratés

Aurel Stevens
3/10/2019
Traduction: traduction automatique
Co-auteur: Christopher Holder, Cédric Bürke

Les mots de passe de centaines de milliers de comptes clients de digitec et Galaxus ont été testés de manière automatisée. Ce n'est malheureusement pas la première fois. Ce ne sont pas des hackers qui sont à l'œuvre, mais des criminels. Nous ne pouvons pas faire grand-chose - vous, si !

Lundi dernier n'était malheureusement pas un lundi matin comme les autres. Lorsque les ordinateurs de l'équipe de sécurité se mettent en marche, il y a une montée d'adrénaline. Un message vient d'apparaître dans le système de surveillance : Attention - Anomalie en cas d'échec de connexion. Le pouls monte, les claviers claquent, quelques expressions de force résonnent dans le bureau.

Une rapide comparaison avec l'outil de surveillance confirme le mauvais pressentiment : des cybercriminels ont travaillé de nuit et dans le brouillard et ont fait du credential stuffing. Une task force est rapidement créée et se met à l'analyse des données.

Qu'est-ce que le credential stuffing ? C'est très simple et ne nécessite pas de grandes connaissances. L'attaquant se procure sur le darknet de grandes listes de combinaisons de mots de passe et de noms d'utilisateur qui ont été dérobées lors de piratages de sites web du monde entier.

Les criminels profitent de la paresse

Malheureusement, de nombreux utilisateurs utilisent toujours le même mot de passe pour leurs différentes connexions - combiné avec l'adresse e-mail ou le nom d'utilisateur toujours identique, les escrocs sur Internet ont la partie facile. Ils testent les combinaisons volées sur différents sites Web et enregistrent les logins réussis dans une liste. Cette liste est ensuite revendue ou directement utilisée à des fins frauduleuses.

Les criminels ne peuvent pas se faire envoyer des colis à l'étranger. Si les colis étaient envoyés à des adresses suisses, la police serait présente lors de la livraison. C'est pourquoi les criminels achètent des licences de logiciels avec les comptes détournés. Les clés de licence sont ensuite mises en solde sur des sites web spécialisés.

Ces attaques ne sont pas courantes, mais elles ne sont pas non plus nouvelles. C'est pourquoi nous avons publié par le passé des articles sur la manière de définir un mot de passe sûr. Depuis 2017, nous proposons en outre l'authentification à deux facteurs.

  • Dans les coulisses

    Nouveau: authentification à deux facteurs pour votre compte client

    par Thierry Pool

  • En coulisse

    Après le piratage : comment se protéger des attaques par force brute

    par Dominik Bärlocher

Petits dégâts, gros soucis

Dans le cas présent, l'analyse a révélé que plusieurs milliers de comptes clients avaient été accédés avec succès. Pour 40 d'entre eux, des avoirs sur leur compte ont été utilisés pour acheter des logiciels pour un total de 3200 francs. Ce dommage est pris en charge par Digitec Galaxus. Les clients n'ont rien à payer. Nous avons réinitialisé le mot de passe des clients concernés et les avons informés. Pour qu'ils soient plus prudents à l'avenir dans le choix de leur mot de passe.

Ce n'est pas non plus une nouveauté que l'information des clients trouve son chemin vers les médias. Cette fois-ci, c'est l'émission de radio Espresso qui a relayé l'information. 20 Minuten Online, Tagi Online, Watson ont repris l'histoire.

Après plusieurs années, la couverture médiatique s'est déjà un peu améliorée. Ce qui est dommage, c'est que l'on continue à parler de hackers et à monter des têtes de mort sur des captures d'écran de notre site. Heureusement, personne n'est mort. Rien n'a été piraté ni "hacké". On a exploité de manière automatisée le fait que les gens sont volontiers paresseux et oublieux et utilisent plusieurs fois le même mot de passe.

Rappel : que pouvez-vous faire?

  • Utilisez un mot de passe différent sur chaque site web. Si vous ne voulez pas tous les mémoriser, vous pouvez utiliser un gestionnaire de mots de passe comme 1password ou KeePass.
  • Activez l'authentification à deux facteurs que nous proposons. Elle empêche l'accès de tiers à votre compte. Même si un criminel a réussi à obtenir votre nom d'utilisateur et votre mot de passe en ligne.
  • Vérifiez que votre adresse e-mail n'a pas déjà été volée ou utilisée lors d'une attaque. Vous pouvez le vérifier sur le site haveibeenpwned.com du chercheur en sécurité Troy Hunt.

Merci de votre aide!

Cet article plaît à 187 personne(s)

User Avatar
User Avatar
Aurel Stevens
Chief Editor
aurel.stevens@digitecgalaxus.ch

Je dompte la rédaction. Rédacteur le jour, papa le soir. Je m’intéresse à la technique, aux ordinateurs et à la HiFi. Je fais du vélo par tous les temps et suis presque toujours de bonne humeur.

Ces articles pourraient aussi vous intéresser

  • Nouveautés

    Des guides d’achat IA conseillent la clientèle de Galaxus

    par Daniel Borchers

  • Nouveautés

    Galaxus a maintenant la coche bleue

    par Oliver Herren

  • Nouveautés

    Galaxus lance un abonnement Internet pour la maison

    par Manuel Wenk

95 commentaires

Avatar
later