Victime d'un piratage, Domino's Pizza a expliqué que les assaillants ont réussi à "décoder le système de cryptage" qui était utilisé pour protéger sa base de données. L'entreprise répète que si certaines informations personnelles ont effectivement été soustraites, les données bancaires ne sont absolument pas concernées.

Cette semaine, Domino's Pizza a annoncé avoir été la cible d'une attaque informatique qui a permis aux assaillants de soustraire un certain nombre d'informations sur les clients de l'enseigne ayant déjà passé une commande en ligne depuis le site de l'enseigne. Parmi les données exposées figurent l'identité des clients, leurs coordonnées, leurs informations de contact et leur mot de passe.

Suite à cet incident, Numerama a pris contact avec la branche française de la chaîne de restauration rapide (Domino's Pizza France) pour qu'elle précise un certain nombre d'éléments concernant la protection du site, le détail des données qui ont été soustraites par les attaquants, le nombre de clients potentiellement concernés par l'affaire et les mesures décidées par la direction après la découverte du piratage.

Les protections cassées

Il ressort de cet entretien que Domino's Pizza "utilise un système de cryptage des données commerciales" mais que celui-ci n'a pas permis de contenir les agresseurs. "Les hackers […] ont été en mesure de décoder le système de cryptage". La pizzeria n'est pas entré toutefois dans les détails : est-ce un défaut de "salage" ? Domino's Pizza parle simplement de "professionnels aguerris" pour désigner les pirates.

Du fait de la capacité manifeste des assaillants, ces derniers ont donc pu au minimum récupérer les nom, prénom, e-mail, mot de passe et code postal des "clients ayant coché, à l’issue de leur commande en ligne, au moins l’une des cases indiquant 'sauvegarder mes données et m’inscrire' ou 'recevoir nos offres exclusives par e-mail'".

En plus de ces informations obligatoires, d'autres champs étaient à disposition "pour les personnes qui ont souhaité créer un compte complet" : date de naissance, adresse postale et téléphone (fixe ou portable). À cette liste, il faut aussi ajouter manifestement le mot de passe, puisque la protection de la base de données a été contournée, de l'aveu même de l'entreprise.

À cette occasion, Domino's Pizza a voulu rappeler que l'attaque informatique n'a pas permis de dérober des données bancaires. Comme nous l'avons relevé dans notre précédent sujet, le site ne dispose en effet pas de système de paiement en ligne : celui-ci se déroule au moment de la livraison ou directement dans un point de retrait des pizzas.

Une faille identifiée

Concernant le nombre de clients touchés par l'incident, Domino's Pizza n'est pas en mesure d'avancer le moindre chiffre. Par précaution, tout ceux ayant déjà commandé en ligne sur le site devraient changer de mot de passe et s'assurer que l'ancien n'est pas utilisé ailleurs, afin d'éviter des répercussions sur d'autres sites web (voir à ce sujet nos recommandations).

Domino's Pizza ajoute que depuis la cyberattaque, des experts ont été mandatés "pour auditer notre système de cryptage des données et identifier la faille qui pourrait avoir permis à des hackers de le décoder". Cette procédure a permis d'en détecter une qui a depuis été résolue.

Partager sur les réseaux sociaux

Articles liés