Mise à jour du 15 décembre 2017 : Un porte-parole de Cdiscount affirme au Figaro que le site n’a pas été piraté et que les comptes détournés l’ont été grâce à une campagne de phishing qui a porté ses fruits sur certains clients.
Article original du 14 décembre :
L’affaire est loin d’être glorieuse pour le site Cdiscount. Selon les informations du Point, la sécurité de la plateforme spécialisée dans le commerce électronique a été mise en défaut par un ou plusieurs individus au cours des derniers mois, afin de récupérer des informations sensibles bien précises. En effet, il s’agissait de données bancaires enregistrées par les clients pour des achats futurs.
La tactique consistait à s’introduire frauduleusement dans les système informatique de la société, d’accéder aux fichiers regroupant les références des cartes bancaires mémorisées par le site puis de passer diverses commandes avant d’aller les chercher dans des points-relais. Nos confrères indiquent que la manœuvre a débuté en juin et a affecté près de 500 clients de l’entreprise française.
Le préjudice est évalué à plus de 350 000 euros, étant donné que la manœuvre visait des produits de valeur, comme des smartphones ou de l’électroménager. À l’heure actuelle, cinq personnes ont été interpellées, dont deux mineurs. Au cours de la garde à vue, certaines d’entre elles ont fait comprendre qu’elles agissaient pour le compte d’un commanditaire dont l’identité n’a pas été donnée.
L’affaire tombe évidemment très mal pour Cdiscount à quelques semaines des fêtes de fin d’année, période où les sites de e-commerce réalisent une part très importante de leur chiffre annuel. Elle fragilise par ailleurs la crédibilité de la plateforme en ce qui concerne la sécurisation des données sensibles… un domaine sur lequel Cdiscount ne pouvait guère prétendre à l’excellence.
Déjà pris en défaut
Rappelons en effet qu’en d’octobre 2016, la Commission nationale de l’informatique (Cnil) a mis en demeure Cdiscount après la découverte d’une dizaine de manquements à la loi Informatique et Libertés, y compris la conservation en clair de numéros de cartes bancaires sur une base de données. À l’époque, le site commercial avait rejeté la faute sur un sous-traitant.
Quelques mois plus tard, la mise en demeure contre Cdiscount avait été fermée par la Cnil, celle-ci ayant noté plusieurs mesures prises par l’entreprise pour se mettre en conformité avec la loi, notamment sur la façon dont elle traite et sécurise les données bancaires de ses clients. Mais visiblement, ça n’a pas suffi, puisque c’est justement sur ces informations que Cdiscount est encore pris en défaut.
Gare à sa carte
L’incident, manifestement assez limité par son ampleur, donne en tout cas du grain à moudre à ceux et celles qui préfèrent ne jamais enregistrer leurs coordonnées bancaires sur un site de vente en ligne, même en prévision d’autres achats. Si elle est proposée à des fins de commodité, cette option peut à terme représenter un risque de sécurité si un accès frauduleux survient dans la base de données du site.
La loi autorise un site marchand une conservation en base « archive » des coordonnées bancaires d’un client pour une durée de 15 mois, si celui-ci donne son consentement, fait savoir la Cnil. Cela concerne le numéro de la carte ainsi que sa date d’expiration. En revanche, le cryptogramme visuel ne doit jamais être conservé par le site marchand : il ne doit servir qu’au moment du paiement.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !