Les clients du site de commerce en ligne Cdiscount ont été victimes d’une utilisation frauduleuse des références des cartes bancaires pour ensuite procéder à des achats. L’entreprise affirme que les clients en question ont été victimes de phishing et se défend de tout piratage.

Mise à jour du 15 décembre 2017 : Un porte-parole de Cdiscount affirme au Figaro que le site n’a pas été piraté et que les comptes détournés l’ont été grâce à une campagne de phishing qui a porté ses fruits sur certains clients.

Article original du 14 décembre : 

L’affaire est loin d’être glorieuse pour le site Cdiscount. Selon les informations du Point, la sécurité de la plateforme spécialisée dans le commerce électronique a été mise en défaut par un ou plusieurs individus au cours des derniers mois, afin de récupérer des informations sensibles bien précises. En effet, il s’agissait de données bancaires enregistrées par les clients pour des achats futurs.

La tactique consistait à s’introduire frauduleusement dans les système informatique de la société, d’accéder aux fichiers regroupant les références des cartes bancaires mémorisées par le site puis de passer diverses commandes avant d’aller les chercher dans des points-relais. Nos confrères indiquent que la manœuvre a débuté en juin et a affecté près de 500 clients de l’entreprise française.

cdiscount-produit

Le préjudice est évalué à plus de 350 000 euros, étant donné que la manœuvre visait des produits de valeur, comme des smartphones ou de l’électroménager. À l’heure actuelle, cinq personnes ont été interpellées, dont deux mineurs. Au cours de la garde à vue, certaines d’entre elles ont fait comprendre qu’elles agissaient pour le compte d’un commanditaire dont l’identité n’a pas été donnée.

L’affaire tombe évidemment très mal pour Cdiscount à quelques semaines des fêtes de fin d’année, période où les sites de e-commerce réalisent une part très importante de leur chiffre annuel. Elle fragilise par ailleurs la crédibilité de la plateforme en ce qui concerne la sécurisation des données sensibles… un domaine sur lequel Cdiscount ne pouvait guère prétendre à l’excellence.

Déjà pris en défaut

Rappelons en effet qu’en d’octobre 2016, la Commission nationale de l’informatique (Cnil) a mis en demeure Cdiscount après la découverte d’une dizaine de manquements à la loi Informatique et Libertés, y compris la conservation en clair de numéros de cartes bancaires sur une base de données. À l’époque, le site commercial avait rejeté la faute sur un sous-traitant.

Quelques mois plus tard, la mise en demeure contre Cdiscount avait été fermée par la Cnil, celle-ci ayant noté plusieurs mesures prises par l’entreprise pour se mettre en conformité avec la loi, notamment sur la façon dont elle traite et sécurise les données bancaires de ses clients. Mais visiblement, ça n’a pas suffi, puisque c’est justement sur ces informations que Cdiscount est encore pris en défaut.

mastercard

Gare à sa carte

L’incident, manifestement assez limité par son ampleur, donne en tout cas du grain à moudre à ceux et celles qui préfèrent ne jamais enregistrer leurs coordonnées bancaires sur un site de vente en ligne, même en prévision d’autres achats. Si elle est proposée à des fins de commodité, cette option peut à terme représenter un risque de sécurité si un accès frauduleux survient dans la base de données du site.

La loi autorise un site marchand une conservation en base « archive » des coordonnées bancaires d’un client pour une durée de 15 mois, si celui-ci donne son consentement, fait savoir la Cnil. Cela concerne le numéro de la carte ainsi que sa date d’expiration. En revanche, le cryptogramme visuel ne doit jamais être conservé par le site marchand : il ne doit servir qu’au moment du paiement.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !