Cette semaine, Domino's Pizza a annoncé avoir été la cible d'une attaque informatique qui a permis aux assaillants de soustraire un certain nombre d'informations sur les clients de l'enseigne ayant déjà passé une commande en ligne depuis le site de l'enseigne. Parmi les données exposées figurent l'identité des clients, leurs coordonnées, leurs informations de contact et leur mot de passe.
Suite à cet incident, Numerama a pris contact avec la branche française de la chaîne de restauration rapide (Domino's Pizza France) pour qu'elle précise un certain nombre d'éléments concernant la protection du site, le détail des données qui ont été soustraites par les attaquants, le nombre de clients potentiellement concernés par l'affaire et les mesures décidées par la direction après la découverte du piratage.
Les protections cassées
Il ressort de cet entretien que Domino's Pizza "utilise un système de cryptage des données commerciales" mais que celui-ci n'a pas permis de contenir les agresseurs. "Les hackers […] ont été en mesure de décoder le système de cryptage". La pizzeria n'est pas entré toutefois dans les détails : est-ce un défaut de "salage" ? Domino's Pizza parle simplement de "professionnels aguerris" pour désigner les pirates.
Du fait de la capacité manifeste des assaillants, ces derniers ont donc pu au minimum récupérer les nom, prénom, e-mail, mot de passe et code postal des "clients ayant coché, à l’issue de leur commande en ligne, au moins l’une des cases indiquant 'sauvegarder mes données et m’inscrire' ou 'recevoir nos offres exclusives par e-mail'".
En plus de ces informations obligatoires, d'autres champs étaient à disposition "pour les personnes qui ont souhaité créer un compte complet" : date de naissance, adresse postale et téléphone (fixe ou portable). À cette liste, il faut aussi ajouter manifestement le mot de passe, puisque la protection de la base de données a été contournée, de l'aveu même de l'entreprise.
À cette occasion, Domino's Pizza a voulu rappeler que l'attaque informatique n'a pas permis de dérober des données bancaires. Comme nous l'avons relevé dans notre précédent sujet, le site ne dispose en effet pas de système de paiement en ligne : celui-ci se déroule au moment de la livraison ou directement dans un point de retrait des pizzas.
Une faille identifiée
Concernant le nombre de clients touchés par l'incident, Domino's Pizza n'est pas en mesure d'avancer le moindre chiffre. Par précaution, tout ceux ayant déjà commandé en ligne sur le site devraient changer de mot de passe et s'assurer que l'ancien n'est pas utilisé ailleurs, afin d'éviter des répercussions sur d'autres sites web (voir à ce sujet nos recommandations).
Domino's Pizza ajoute que depuis la cyberattaque, des experts ont été mandatés "pour auditer notre système de cryptage des données et identifier la faille qui pourrait avoir permis à des hackers de le décoder". Cette procédure a permis d'en détecter une qui a depuis été résolue.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.