Boulanger a confirmé avoir envoyé des mails à certains de ses clients pour les inciter à changer de mot de passe. Il s'agit d'une mesure de précaution : l'enseigne dit avoir été la cible, comme 139 autres, d'une « une tentative de récupération frauduleuse de données ».

Si vous avez un compte client chez Boulanger, vous avez peut-être reçu un courrier vous demandant de changer de mot de passe. Sachez qu’il s’agit d’un mail légitime : sur son compte Twitter, l’enseigne spécialisée dans le multimédia et l’électroménager indique en effet que ces demandes sont émises par précaution, car « une tentative de récupération frauduleuse de données » a été détectée.

À la rédaction, l’un de nos journalistes a été alerté de la sorte. Il semble toutefois que cette campagne d’envoi ne concerne pas l’ensemble des clients. Un autre membre de l’équipe, qui a aussi un compte client chez Boulanger, n’a rien reçu.

Extrait du mail reçu.

Les détails manquent à l’heure actuelle mais il apparaît d’ores et déjà qu’il ne s’agirait pas d’un incident isolé. Dans son courrier, la société explique que cette tentative de piratage a visé 139 autres enseignes, dont le nom n’a pas été donné. Concernant Boulanger, l’objectif des personnes à l’origine de l’opération n’a visiblement pas été atteint, puisque l’on parle d’une simple « tentative ».

Les données bancaires ne sont pas concernées par cet incident.

Actualisation des mots de passe

Cela étant, prudence est mère de sûreté : Boulanger invite sa clientèle à changer le mot de passe du compte client sur sa plateforme mais aussi à actualiser celui utilisé pour protéger sa boîte mail principale — en tout cas celle qui est rattachée au compte Boulanger. Le mail contient quelques suggestions pour la conception et la gestion du mot de passe utilisé sur Boulanger, pour renforcer la sécurité de son compte.

Ainsi, Boulanger conseille « d’avoir un mot de passe avec des majuscules, des minuscules, des caractères spéciaux et des numéros », d’en avoir des « différents en fonction de vos comptes clients » mais aussi, mais c’est plus contraignant, « de les changer régulièrement ». En la matière, un gestionnaire de mots de passe peut s’avérer utile afin de le laisser  les mémoriser pour vous et vous avertir quand il faut en changer.

À ces règles, nous pouvons ajouter celle recommandant de choisir un mot de passe d’une certaine longueur (huit ou dix caractères minimum est un bon début) ainsi qu’un conseil de vérification : si celui qui était utilisé sur Boulanger et sur votre compte mail ne servait pas ailleurs, tout va bien. A contrario, vous devriez créer des mots de passe uniques sur les sites concernés.

Pour vous accompagner, nous avons publié un guide rapide regroupant la plupart de ces conseils. La Commission nationale de l’informatique et des libertés a aussi dans sa besace quelques recommandations dont il faut tenir compte.

Un code à taper après la validation du mot de passe. Un exemple avec LastPass.

Et la double authentification, alors ?

Cela dit, la sécurité ne peut évidemment pas que reposer sur l’utilisateur. Du côté des professionnels, il est grand temps de considérer le déploiement d’une couche de sécurité supplémentaire, la double authentification. Des entreprises comme Google, Facebook, Apple, Microsoft, Steam ou Reddit proposent ce réglage dans leurs paramètres. Amazon aussi, pour ce qui est du commerce électronique.

Il existe un site qui s’efforce de recenser toutes les plateformes proposant cette mesure de sécurité.

De cette façon, même si le mot de passe sur Boulanger était compromis, il faudrait encore passer l’étape du second code de validation, qui ne peut pas être donné sans avoir sous la main le smartphone qui a été lié au compte. Cette seconde preuve d’identité n’offre pas une protection absolue, mais elle élève considérablement le niveau de sûreté, rendant une opération de piratage bien plus difficile à conduire.

Partager sur les réseaux sociaux