Nouveautés

Non, digitec et Galaxus n'ont pas été piratés

3/10/2019

Traduction : traduction automatique

Co-auteur: Christopher Holder, Cédric Bürke

Les mots de passe de centaines de milliers de comptes clients de digitec et Galaxus ont été testés de manière automatisée. Ce n'est malheureusement pas la première fois. Ce ne sont pas des hackers qui sont à l'œuvre, mais des criminels. Nous ne pouvons pas faire grand-chose - vous, si !

Lundi dernier n'était malheureusement pas un lundi matin comme les autres. Lorsque les ordinateurs de l'équipe de sécurité se mettent en marche, il y a une montée d'adrénaline. Un message vient d'apparaître dans le système de surveillance : Attention - Anomalie en cas d'échec de connexion. Le pouls monte, les claviers claquent, quelques expressions de force résonnent dans le bureau.

Une rapide comparaison avec l'outil de surveillance confirme le mauvais pressentiment : des cybercriminels ont travaillé de nuit et dans le brouillard et ont fait du credential stuffing. Une task force est rapidement créée et se met à l'analyse des données.

Qu'est-ce que le credential stuffing ? C'est très simple et ne nécessite pas de grandes connaissances. L'attaquant se procure sur le darknet de grandes listes de combinaisons de mots de passe et de noms d'utilisateur qui ont été dérobées lors de piratages de sites web du monde entier.

Les criminels profitent de la paresse

Malheureusement, de nombreux utilisateurs utilisent toujours le même mot de passe pour leurs différentes connexions - combiné avec l'adresse e-mail ou le nom d'utilisateur toujours identique, les escrocs sur Internet ont la partie facile. Ils testent les combinaisons volées sur différents sites Web et enregistrent les logins réussis dans une liste. Cette liste est ensuite revendue ou directement utilisée à des fins frauduleuses.

Les criminels ne peuvent pas se faire envoyer des colis à l'étranger. Si les colis étaient envoyés à des adresses suisses, la police serait présente lors de la livraison. C'est pourquoi les criminels achètent des licences de logiciels avec les comptes détournés. Les clés de licence sont ensuite mises en solde sur des sites web spécialisés.

Ces attaques ne sont pas courantes, mais elles ne sont pas non plus nouvelles. C'est pourquoi nous avons publié par le passé des articles sur la manière de définir un mot de passe sûr. Depuis 2017, nous proposons en outre l'authentification à deux facteurs.

Dans les coulisses
Nouveau: authentification à deux facteurs pour votre compte client
par Thierry Pool

En coulisse
Après le piratage : comment se protéger des attaques par force brute
par Dominik Bärlocher

Petits dégâts, gros soucis

Dans le cas présent, l'analyse a révélé que plusieurs milliers de comptes clients avaient été accédés avec succès. Pour 40 d'entre eux, des avoirs sur leur compte ont été utilisés pour acheter des logiciels pour un total de 3200 francs. Ce dommage est pris en charge par Digitec Galaxus. Les clients n'ont rien à payer. Nous avons réinitialisé le mot de passe des clients concernés et les avons informés. Pour qu'ils soient plus prudents à l'avenir dans le choix de leur mot de passe.

Ce n'est pas non plus une nouveauté que l'information des clients trouve son chemin vers les médias. Cette fois-ci, c'est l'émission de radio Espresso qui a relayé l'information. 20 Minuten Online, Tagi Online, Watson ont repris l'histoire.

Après plusieurs années, la couverture médiatique s'est déjà un peu améliorée. Ce qui est dommage, c'est que l'on continue à parler de hackers et à monter des têtes de mort sur des captures d'écran de notre site. Heureusement, personne n'est mort. Rien n'a été piraté ni "hacké". On a exploité de manière automatisée le fait que les gens sont volontiers paresseux et oublieux et utilisent plusieurs fois le même mot de passe.

Rappel : que pouvez-vous faire?

Utilisez un mot de passe différent sur chaque site web. Si vous ne voulez pas tous les mémoriser, vous pouvez utiliser un gestionnaire de mots de passe comme 1password ou KeePass.
Activez l'authentification à deux facteurs que nous proposons. Elle empêche l'accès de tiers à votre compte. Même si un criminel a réussi à obtenir votre nom d'utilisateur et votre mot de passe en ligne.
Vérifiez que votre adresse e-mail n'a pas déjà été volée ou utilisée lors d'une attaque. Vous pouvez le vérifier sur le site haveibeenpwned.com du chercheur en sécurité Troy Hunt.

Merci de votre aide!

Cet article plaît à 187 personne(s)

Aurel Stevens

Chief Editor

aurel.stevens@digitecgalaxus.ch

Je dompte la rédaction. Rédacteur le jour, papa le soir. Je m’intéresse à la technique, aux ordinateurs et à la HiFi. Je fais du vélo par tous les temps et suis presque toujours de bonne humeur.

Nouveautés

Chiffres annuels, tendances des ventes, nouveaux services, nos efforts en matière de développement durable pour les produits de première main, etc.

Tout afficher

Ces articles pourraient aussi vous intéresser

Nouveautés
Galaxus a maintenant la coche bleue
par Oliver Herren
Nouveautés
Des guides d’achat IA conseillent la clientèle de Galaxus
par Daniel Borchers
Nouveautés
Cryptos : ce que disent les médias de notre dernière option de paiement
par Alex Hämmerli

95 commentaires

later

Recherche

Non, digitec et Galaxus n'ont pas été piratés

Les criminels profitent de la paresse

Nouveau: authentification à deux facteurs pour votre compte client

Après le piratage : comment se protéger des attaques par force brute

Petits dégâts, gros soucis

Rappel : que pouvez-vous faire?

Ces articles pourraient aussi vous intéresser

Galaxus a maintenant la coche bleue

Des guides d’achat IA conseillent la clientèle de Galaxus

Cryptos : ce que disent les médias de notre dernière option de paiement

95 commentaires

Top 10 catégories

Aller à

Nouveau: authentification à deux facteurs pour votre compte client

Après le piratage : comment se protéger des attaques par force brute

95 commentaires

Digitec Offre du jour