Fuite de données chez Shadow : quelles données sont concernées ? Comment se protéger ?

Publié le 13 octobre 2023 à 10h30

Le service Shadow a été victime d'une attaque © Shadow

Le service de PC dans le cloud Shadow s’est fait pirater il y a peu. On fait le point sur les données qui se baladent dans la nature et comment éviter de telles déconvenues la prochaine fois.

Alors que Shadow vient de lancer une toute nouvelle formule d’abonnement à 9,99 euros par mois, l’entreprise a annoncé quelques jours après s’être fait dérober des données clients. Ne paniquez cependant pas trop, votre compte en banque est probablement sain et sauf.

Shadow

Shadow

7.8 / 10

7.8 /10

Voir l'offre

Quelles données sont concernées ?

Dans un e-mail envoyé à toute sa clientèle, l’entreprise explique avoir « été victime d’une attaque de type ingénierie sociale ciblant un de nos employés » à la fin du mois de septembre. Cette attaque, menée sur Discord avec un code de téléchargement Steam vérolé, a permis au pirate malveillant de mettre la main sur tout un tas de données personnelles, même si la plateforme a bien pris soin de préciser qu'« aucun mot de passe ni aucune donnée bancaire sensible n’ont été compromis ».

Au chapitre des données concernées par le piratage, on trouve donc :

Les nom, prénom et date de naissance ;
L'adresse mail ;
L'adresse de facturation ;
La date d’expiration de la carte bancaire.

Aucune de ces informations ne peut immédiatement servir à pirater votre compte en banque, mais ces données peuvent être utiles dans des campagnes d'hameçonnage, ou pour essayer de deviner votre mot de passe sur des services en ligne (au cas où votre code serait votre date de naissance par exemple, ce qui est une très mauvaise idée). Une campagne d'e-mails frauduleuse peut aussi être plus convaincante si elle contient des informations personnelles censées être privées.

Comment se protéger au maximum ?

Comme d’habitude dans ces cas-là, le plus important est d’abord de rester très vigilant aux e-mails que vous recevez et de suivre les conseils que nous vous donnons ici. Ne cliquez pas sur tous les liens de votre boîte, vérifiez bien que les expéditeurs affichent une adresse légitime, que les sites que vous visitez n’arborent pas une URL étrange… Bref, faites preuve de méfiance dans votre rapport à l’hygiène numérique.

Ensuite, vous pouvez prendre des mesures plus systémiques. Comme l’explique Shadow, si vous ne l’avez pas toujours fait, il est bon d’activer la double authentification sur les services web qui proposent cette option (y compris sur votre compte Shadow). Cela compliquera le travail des pirates qui essaient de dérober vos données, puisqu’il leur faudra, en plus de vos identifiants, une clé de sécurité (que vous seul possédez) pour accéder à vos comptes.

Plus vos informations seront compliquées à obtenir, moins les pirates se donneront la peine © wk1003mike / Shutterstock

Enfin, si vous voulez aller encore plus loin, vous pouvez prendre des mesures pour éviter de vous faire pister directement sur votre boîte mail. Les alias de mail permettent notamment de masquer votre véritable adresse mail en créant une adresse à usage unique, spécifique à un site. Celle-ci redirigera ensuite les courriers vers votre boîte principale, mais en ne dévoilant jamais votre véritable identifiant. Si vous recevez des courriers louches venant de cet alias, vous saurez alors que c’est probablement du phishing.

Ces conseils ne vous permettront pas de vous protéger de 100 % des attaques, car aucun système informatique n’est inviolable. Mais en mettant un maximum d’embûches sur le chemin des pirates un peu trop curieux, vous en découragerez sûrement un bon nombre.

Source : Communiqué Shadow

Par Corentin Béchade

Journaliste depuis quasiment 10 ans, j’ai écumé le secteur de la tech et du numérique depuis mes tout premiers chapôs. Bidouilleur (beaucoup), libriste (un peu), j’ai développé une spécialisation sur les thèmes de l’écologie et du numérique ainsi que sur la protection de la vie privée. Le week-end je torture des Raspberry Pi à grands coups de commandes 'sudo' pour me détendre.

Articles de Corentin Béchade

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Feunoir

J’ai relu 5 fois " un code de téléchargement Steam vérolé ", je bugue un peu la dessus ^V^

Un lien? L’(ex?) employé de chez Shadow utilisait ces identifiants du boulot sur Steam? (le même password?)

wackyseb

Ca existe encore shadow ?
Ah ouais, c’était pas mal pour ceux qui voulaient de la qualité PC sans investir dans une bete de course

jvachez

J’ai trouvé un lien où ils détaillent plus :

L’attaque a été réalisée par ingénierie sociale, en ciblant un employé de Shadow sur Discord. Celui-ci a téléchargé un malware déguisé en jeu sur Steam, proposé par une connaissance elle-même infectée. Le pirate a ensuite exploité un cookie volé pour se connecter à l’interface d’un fournisseur SaaS de Shadow et extraire les informations des clients via l’API.

Werehog

Encore une fois, mélanger du pro et du perso sur un même pc… pour ce gars ça va être un licenciement et probablement des poursuites

Loposo

c’est ovh, la ce n’est plus que du gaming, mais il y a un service de stockage cloud, et un service ou c’est une station de travail complet, donc windows les app qu’on souhaite …

Pernel

Shadow n’a jamais été du cloud gaming, toujours du cloud computing.

wackyseb

Déjà pour le gaming, j’ai pas trouvé ça ouf. Le prix de l’abonnement fait qu’en peu de temps, on a la même config pour moins cher.

Et pour le travail en cloud, c’est encore pire.
Il faut un PC pour accéder à un PC. Idée idiote ou idée de génie, je ne sais pas le dire tellement c’est absurde.

Il y a certainement des gens qui sont interessés par ce concept.
On l’a experimenté au boulot depuis des tout petit PC sous linux en connexion à des serveurs windows 10 et on y a trouvé que des inconvénients surtout en terme de coûts d’exploitation.
Finalement un PC portable standard est bien plus polyvalent et on a des PC portable CFAO i7 et geforce pro pour le calcul, la 3D ou les logiciels de dessins…

Squeak

J’avais testé l’an passé quelques mois puis annulé mon abonnement car les prix allaient augmenter fameusement et je trouvais que ça fonctionnait plutôt bien. Sinon là c’est bien joli de s’excuser pour la gêne occasionnée, les données sont dans la nature et une fois de plus il faudra s’attendre à du spam et phishing. Une fuite de plus, de moins… On commence à être habitués.

Dans le mail ils expliquent « une technique d’ingénierie sociale sophistiquée »… Mouais, disons plutôt la grosse incompétence d’un employé qui s’est fait avoir comme un idiot sur son poste de travail.

OL556B3C4

…et qui plus est, juste pour obtenir un jeu gratuit au travail ? Mauvais quart d’heure en perspective…

Mr-Ragga

Pout du gaming nvidia fait bien mieux