La semaine dernière et sur une énième itération d'un forum de vente de données personnelles dérobées, une personne se présentant sous l'identité de LegendShadow, et jouissant d'une certaine crédibilité sur ce forum, a publié une annonce pour un fichier contenant la structure et le contenu d'une base de données de 1,5 million d'utilisateurs de ldlc.com.

Sur le réseau social X et sur une chaîne Telegram, Epsilon Group a revendiqué le piratage de LDLC et la collecte de données : nom, prénom, adresse postale, adresse e-mail, numéro de téléphone et identifiant client.

Epsilon Group indique que des négociations avec LDLC pour la suppression des données exfiltrées n'ont pas abouti. Selon l'éditeur de cybersécurité Sekoia.io, les administrateurs de la chaîne Telegram de Epsilon Group sont deux francophones chatnoir et benef qui mènent diverses activités malveillantes, en plus de la commercialisation d'un infostealer.

Des clients des boutiques physiques de LDLC

Notamment suite à un signalement par le hacker éthique Clément Domingo (alias SaaX ; @_SaxX_), LDLC - qui se présente comme le numéro 1 de l'informatique et du high-tech en France - a d'abord réagi sur X en indiquant avoir été informé de la situation. " Nous sommes en train d'investiguer à ce sujet. "

Désormais, LDLC communique de manière plus officielle sur l'incident de cybersécurité et se dit victime d'une fuite de données clients, en précisant qu'elle touche des clients de ses boutiques physiques. " Les clients web ne sont pas impactés par cette cyberattaque. "

ldlc-fuite-donnees-clients-communique

" Aucune donnée financière ou sensible des clients de nos boutiques physiques n'est concernée. Les clients n'ont aucune action à réaliser. Il est néanmoins recommandé, comme à l'accoutumée, d'être vigilant sur d'éventuelles tentatives de phishing, demandes d'informations personnelles. "

Epsilon Group réagit également

Si des mesures de renforcement des protections déjà existantes ont été prises, une enquête est toujours en cours. Les autorités compétentes ont été notifiées en vertu du Règlement général sur la protection des données.

Le groupe cybercriminel Epsilon n'est pas resté mué après le communiqué de LDLC qui est taxé de menteur en affirmant que ses clients web ne sont pas impactés par la cyberattaque.

Si le contexte est flou concernant l'initiative de LegendShadow, Epsilon Group est en tout cas à prendre au sérieux.