Domino's Pizza a annoncé vendredi avoir fait l'objet d'un piratage qui a permis à un assaillant de récupérer les mots de passe qui étaient stockés dans une base de données.

(Mise à jour : les réponses de Domino's Pizza à nos questions)

Si vous avez déjà passé une commande en ligne chez Domino's Pizza, vous feriez mieux de vous assurer que le mot de passe que vous utilisiez jusqu'à présent sur le site web de la chaîne de restauration rapide pour vous identifier n'était pas employé sur les autres espaces que vous fréquentez par ailleurs. Car en effet, la base de données du spécialiste de la pizza a été piratée.

Le danger du stockage en clair

Dans cette affaire, le problème n'est pas tant que Domino's Pizza ait été attaqué. Après tout, ce type d'incident touche régulièrement les entreprises qui ont des activités sur le net : Adobe, Sony, Twitter, Riot Games, Blizzard, Steam, eBay, Skyrock… nous pourrions poursuivre cette liste pendant encore un moment. Le problème, c'est que Domino's Pizza stockait visiblement les mots de passe en clair (màj : les protections auraient en fait été cassées).

Résultat, si un internaute utilise un même mot de passe pour tous les services sur lesquels il est inscrit, il se retrouve exposé de fait à de très graves difficultés. Par exemple, si le mot de passe pour s'identifier sur Domino's Pizza est le même que celui pour accéder à sa boîte mail, un pirate a pratiquement accès à tout : il suffit ensuite de se faire envoyer des mails via l'option "j'ai oublié mon mot de passe".

Bien sûr, il existe des parades.

Le souci du même mot de passe

D'abord, la boîte mail peut être protégée au moyen de la validation en deux étapes. Gmail, par exemple, peut demander un second code d'accès après le mot de passe. Celui-ci est obtenu au moyen d'une application mobile installée sur le téléphone mobile du propriétaire du compte. Normalement, le pirate n'y a pas accès du fait de la distance le séparant de la victime.

Ensuite, il est impératif d'utiliser systématiquement un mot de passe différent et suffisamment robuste sur chaque site. Hélas, les internautes ne sont pas franchement au niveau : la qualité des mots de passe est souvent négligée et, selon une étude conduite en 2009, la moitié des Français utilise un seul mot de passe pour sécuriser leurs activités en ligne.

C'est une grave erreur. En diversifiant les mots de passe, un agresseur qui aurait réussi à pirater une base de données ne pourrait plus exploiter sa prise ailleurs. Certes, d'aucuns diront qu'une approche de ce type aboutit à une somme beaucoup trop importante de mots de passe à retenir. Mais il y a justement des gestionnaires qui remplissent cette mission : KeePass, LastPass ou Dashlane.

Mais si l'internaute doit faire des efforts pour se protéger, une entreprise comme Domino's Pizza est aussi un maillon de la chaîne de la sécurité informatique.

Pas de donnée bancaire volée

Dans cette affaire, il y a toutefois une bonne nouvelle. "Aucune carte de crédit ni aucun renseignement bancaire d’aucun de nos clients n’est concerné par ce piratage", annonce Domino's Pizza. En effet, le paiement des pizzas commandés en ligne se fait à la livraison ou en magasin (en espèces, en tickets restaurant ou en carte bancaire).

En revanche, du fait de la nature du service, les informations générales (nom, prénom) de chaque client, l'adresse postale et les informations de contact (numéro de téléphone, adresse électronique) ont certainement aussi été récupérées par le ou les auteurs du piratage.

Plainte… et chiffrement ?

Comme toujours, Domino's Pizza invite à changer immédiatement son mot de passe. Un courrier a d'ailleurs été envoyé à la clientèle de la chaîne, qui n'a pas manqué de marqué son mécontentement sur les réseaux sociaux (notamment sur la page Facebook de la pizzeria et sur Twitter). Une mise en garde concernant une éventuelle campagne de hameçonnage (phishing) a aussi été adressée.

Domino's Pizza annonce par ailleurs qu'une plainte a été déposée et que la branche française du groupe "travaille actuellement en étroite collaboration avec les autorités et les experts compétents" pour "prévenir les dysfonctionnements techniques, améliorer la sécurité de ses plateformes commerciales et empêcher ainsi tout nouveau piratage de ses données".


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !