La Fnac, victime d'une usurpation d'identité à des fins malhonnêtes, prévient ses clients

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 17 juin 2020 à 08h40

La société a envoyé un courrier électronique à l'ensemble de ses clients, mardi après-midi, pour les inciter à la prudence suite à une vague de phishing. Il n'y aurait aucune fuite de données, selon l'enseigne.

Depuis le début du mois, plusieurs clients ont signalé sur les réseaux sociaux et auprès de la Fnac directement avoir reçu un courrier électronique au nom du magasin pour une prétendue commande passée par le destinataire du mail. Sauf qu'en réalité, l'entreprise indique faire l'objet d'une campagne d'usurpation d'identité, évidemment à des fins frauduleuses.

Des mails faisant état de commandes fictives

Mardi 16 juin après-midi, les équipes de la Fnac ont envoyé un mail d'alerte et de sensibilisation à tous les clients de l'entreprise afin de les informer du risque encouru de recevoir un courrier électronique de phishing. « En effet, des e-mails de phishing/hameçonnage pour conformation de commande sont envoyés à certains de nos clients, ce que nous déplorons », confirme le commerçant, qui assure mettre « actuellement tout en œuvre pour y faire face ».

Comme souvent, les pirates font preuve d'imagination, mais sont aussi capables de livrer de véritables clones à des victimes qui, non averties aux risques cybercriminels, peuvent se laisser appâter et ainsi tomber dans le piège.

« Ces e-mails font état de confirmation de commandes fictives en reprenant la charte graphique et le logo de notre enseigne », précise la firme, qui indique que les hackers jouent sur la notoriété de la Fnac pour récupérer les informations personnelles et données bancaires de leurs cibles.

« Pas de fuite de données », affirme la Fnac

Dans son mail adressé aux clients, la Fnac affirme ne pas avoir subi de fuite de données, et rappelle, au passage, que l'enseigne « ne vous demandera jamais » de communiquer votre identifiant, votre mot de passe ou numéro de carte bancaire.

Et parce qu'après l'information vient la sensibilisation et le conseil, la Fnac, qui prend « très au sérieux » cette campagne de phishing, appelle les consommateurs à « ne surtout pas répondre à ces e-mails frauduleux et à ne pas cliquer sur les liens ou pièces jointes qu'ils pourraient contenir ». En outre, l'enseigne conseille à celles et ceux qui auraient transmis leurs identifiants ou mot de passe de changer ce dernier au plus vite, et de faire opposition à leur carte bancaire en cas de transmission de leurs coordonnées bancaires.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

loracle

C’est devenu la règle ou quoi, chaque semaine on entend des fuites de données par ci par là, puis il viennent nous dire qu’il faut pas s’inquiéter, ça montre que c’est pas du tout sécurisé, est que ça ne le sera jamais.

Keorl

Je crois que tu n’as pas compris de quoi on parle. Genre pas du tout.
Les fuites de données et les campagnes de phishing, c’est pas la même chose.

loracle

Moi je parlais en général, les fuites de données l’usurpation d’identité, les fuites de smartphones, de concepts, d’avant première etc tout fuite dernièrement, ces devenu monnaie courante, alors que ce n’est pas censé arriver, donc ça pose la question de la sécurité, de mauvaises intentions ou simple bêtises humaine.
Sinon pour le soit disant « phishing » pose toi la question ptit génie, pourquoi " La société a envoyé un courrier électronique à l’ensemble de ses clients, pour les inciter à la prudence. Il n’y aurait aucune fuite de données, selon l’enseigne" !???

KlingonBrain

Moi je parlais en général, les fuites de données l’usurpation d’identité, les fuites de smartphones, de concepts, d’avant première etc tout fuite dernièrement, ces devenu monnaie courante, alors que ce n’est pas censé arriver,

La réalité, c’est plutôt que c’est sensé arriver… mais qu’on essaye de faire toute ce qu’on peut pour l’empêcher.

Il faut comprendre que l’informatique n’est pas un univers mathématique théorique, mais un objet concret. Donc pas un monde parfait.

Pourquoi c’est sensé arriver ? Parce que c’est les statistiques qui nous le prouvent : Même le meilleur des programmeurs produit un certain nombre de bugs et failles. Et même en faisant vérifier le code par une armée de gens, on ne trouve pas tout.
Et encore, je n’évoque même pas l’ingénierie sociale, c’est à dire les bogues relatifs a l’unité qui se trouve entre la chaise et le clavier.

Comme on dit, errare humanum est. Et cela prends tout son sens dans des objets de la complexité d’un ordinateur.

Keorl

Écoute, petit génie, le phishing ne nécessite en aucun cas une fuite de données de la part de l’entreprise qui est imitée pour phisher. Une telle fuite n’est nécessaire que pour cible uniquement et précisément les clients de l’enseigne, ou pour inclure des choses comme un numéro client dans le mail.
En pratique, la majorité des campagnes de phishing ciblent au hasard, et tombent sans difficulté sur une bonne quantité de clients de l’entreprise usurpée. Je ne compte plus les fois où j’ai reçu des phishing d’opérateurs mobile/internet, de compagnies de jeux vidéos, chez qui je n’ai jamais eu de compte.
Et même concernant le numéro client, encore faut-il vouloir mettre le vrai. En général ils en mettent un faux et la plupart des gens n’y voient que du feu.

loracle

T’a raison, je me suis gouré. j’ai pensé que la Fnac avait été hacké, et qu’ils ont voulu maquiller ça en phishing, à cause du fait de dire qu’il n’y’a pas eu de fuites de données dans leur mail, j’ai oublié qu’il parlaient à la majorité des gens qui ne sont pas initié et qui pourraient prendre ça pour une fuite de sécurité, alors que le phishing n’a rien à voir avec ça, désolé.

enrico69

Il s’agit de hameconnage, ok, mais par contre certains internautes ont affirmé que leur nom et prénom était bien renseignée dans le corps de l’email. Une idée de comment c’est possible?

raymondp

Oh, ce n’est pas bien compliqué, dans certains annuaires mails, le nom prénom est accolé à l’adresse email, donc quand l’adresse email à été récupérée par les « phisheurs » (ceux qui envoient le phishing), ils ont eu aussi le nom prénom. Certains ont des email qui ressemblent à [email protected], du coup les pirates dans le leur programme prennent le prénom est titi et le nom toto.
Enfin, les « phisheurs » ont récupéré les emails soit par une fuite de données sur un site internet chez qui tu avais créé un compte, soit le site a donné/revendu tes infos à un tiers, genre la régie publicitaire qui met de la pub dessus. Et comme tu as accepté la politique de confidentialité du site (sans la lire), ton mail est déjà parti un peu partout.
Firefox est capable de te dire si ton email à déjà fuité.
J’ai un vieil email qui a dû fuiter une dizaine de fois déjà, du coup je m’en fous de le donner, je sais que ça ne va pas me faire plus de spam que ce que j’ai déjà dessus.

Furax

Pas de fuite de données, ça me parait étrange quand même.
Un collègue a reçu ce fameux mail de phishing (très bien fait d’ailleurs), et l’adresse de facturation était bien l’adresse qu’il avait enregistré par défaut sur le site de la FNAC, qui est un mélange de son nom, mais avec l’adresse postale de la société.

D’après ses dires c’était le seul site où il avait fait ça quelques mois avant pour une livraison en semaine.
Je me demande comment ils ont pu avoir ces infos du coup…

Peter_Vilmen

D’un cote je suis d’accord, de l’autre il me semble que la securite n’est pas prise au serieux voir meme envisagee dans beaucoup de boites, j’ai fait un peu de pentest comme passe-temps et beurk…! Beaucoup des failles +/- critiques que j’ai vues pouvaient etre corriges par de simples scripts / tests d’integrations web generalistes, donc meme sans parler du risque entre la chaise et l’ecran, on est clairement en retard par rapport a ce qu’on pourrait faire si on y faisait un peu plus attention.