L'affaire des débits frauduleux sur Cdiscount contient encore de nombreuses zones d'ombres, notamment sur la responsabilité du e-commerçant. Toutefois, elle témoigne déjà d'une mutation de la criminalité.

Il y a quatre jours, Le Point évoquait le piratage du site Cdiscount : l’hebdomadaire parlait d’une attaque sur le site de e-commerce populaire en France qui aurait coûté de l’argent à de nombreux clients.

Cinq personnes étaient interpellées le mardi 12 septembre à Bourg-lès-Valence dans la Drôme. Parmi ces cinq interpellés, on compte deux mineurs âgés de 12 et 15 ans. Selon nos informations, elles ont toutes été remises en liberté depuis, les enquêteurs ayant encore besoin d’étoffer une affaire qui comprend de nombreuses incertitudes. « Les personnes interpellées étaient toutes des bénéficiaires du piratage, détaille le commandant de police Claude Bourrelly pour Numerama, mais il n’est pas certain, voire peu probable, que parmi celles-ci se trouve le responsable  ».

Un « cerveau » encore inconnu

La police du département tente encore de lever le mystère sur la tête de cette manœuvre de grande ampleur qui ne saurait être réalisée sans compétences techniques. Pour les forces de l’ordre, les cinq personnes interpellées pourraient n’être que les « petites mains  » d’une « jolie petite organisation  » cybercriminelle.

Le commanditaire, le « cerveau  » selon les enquêteurs, serait encore à définir. Tout comme la méthode utilisée pour se saisir des données du site Cdiscount : « Aujourd’hui, l’enquête menée avec l’aide du e-commerçant ne permet pas de privilégier une piste  », détaille M. Bourrelly. Piratage, phishing, ou même fuite interne à l’entreprise ne sont nullement écartés pour comprendre comment les comptes et donc données bancaires de 500 clients ont pu se retrouver dans les mains des criminels.

CC Pavel Kunitsky

Les victimes auraient été intégralement remboursées par le site rappelle le policier, qui insiste sur le rôle coopératif du magasin.

Le remboursement automatique des victimes ne serait pas étranger à une volonté de la filiale du Groupe Casino d’éviter les assignations selon Maître Romain Darrière du barreau de Paris, « Avant même de se retourner contre les criminels, les victimes peuvent se retourner contre l’entreprise qui a une obligation légale de protéger l’intégrité de leurs données. En remboursant directement, Cdiscount a pu se protéger d’éventuelles suites judicaires  ». L’avocat qui a déjà mené différentes plaintes de cet ordre-là pour obtenir un remboursement croit déceler une protection proactive d’une entreprise qui pourrait avoir à se reprocher une faille dans sa sécurité.

Concernant la source, « toutes les pistes sont étudiées »

Le passif de Cdiscount en la matière, l’entreprise a déjà été épinglé par la CNIL, fait dire à l’avocat spécialisé que « Cdiscount n’a pas toujours mis le doigt sur la protection des données  ». Toutefois, dès l’éclatement de l’affaire, les enquêteurs comme l’entreprise ont pris soin de protéger la firme : la police estime que le Groupe Casino s’est montré coopératif, quand le groupe lui-même parle déjà d’une stratégie de phishing des malfaiteurs qui la mettrait définitivement à l’abri.

le magasin pourrait être poursuivi

Contactée, l’entreprise nuance par la voix de son porte-parole : « Nous ne pouvons pas confirmer qu’il s’agit forcément de phishing, il peut également s’agir de fichiers achetés sur le web clandestin qui aurait servi à récupérer des adresses et des mots de passe, notant, très assurée : nous sommes en tout cas formels : jamais personne ne s’est infiltré dans nos bases de données, il ne s’agit pas d’une faille de sécurité ». Une déclaration qui peut sembler précoce.

Les enquêteurs ne nous ont pas donné de confirmation de cette hypothèse, ne fermant aucune porte quant à la source des données. La police ajoute en outre que le magasin pourrait être poursuivi en cas de manquement avéré à son obligation envers les données de ses clients. D’ici là le commandant Bourrelly répète un conseil toujours valide : « Il faut toujours prendre la peine de décocher l’option pour enregistrer ses données bancaires sur le site  ».

« Transfert de la délinquance » vers des organisations

Mais ce qui retient l’attention dans cette affaire est également l’organisation des malfaiteurs. Le mois dernier, L’Observatoire national de la délinquance et des réponses pénales (ONDRP), publiait son annuelle enquête sur le cadre de vie et la sécurité des Français. L’institution criminologue évoquait un report de la délinquance vers le numérique avec une explosion des débits frauduleux qui rappelle le cas Cdiscount.

L’Observatoire note ainsi «  un effet de transfert d’infractions traditionnelles vers cette délinquance dématérialisée  ». Alors que les cambriolages sont en baisse, les débits frauduleux sur les cartes bancaires, comme ceux qui touchent Cdiscount, ont explosé en 2016 : 1,2 million de ménages en ont été victime, soit 4,3 % de la population française.

1,2 million de ménages victimes de débits frauduleux

Cette nouvelle cybercriminalité s’organiserait davantage : des délits internationaux et autres arnaques dites à l’africaine continuent d’exister, mais des groupes se développeraient également à l’intérieur des frontières françaises confirme le policier de la Drôme. Me Darrière, qui ajoute avoir connu des affaires similaires ces derniers mois, développe : « On voit davantage de nouveaux profils, éduqués, sans casier et jeunes qui pensent là ‘hacker’ le système  ». Ce genre de cybercriminels est bien souvent dépendant d’une « tête  » dans cette affaire, comme dans d’autres sur des sites comme Le Bon Coin, Amazon etc.

CC. Negative Space

À la frontière avec le social enigineering et la délinquance, ces organisations en pyramide vont fournir à des « petites mains  » des documents ou données afin d’organiser des fraudes. Chaque fraude est ensuite rémunérée par l’organisation. C’était par exemple le cas pour Cdiscount où différentes personnes d’une même famille utilisaient les données fournies par la tête afin de faire livrer dans des points relais des marchandises ensuite revendues : le butin ainsi obtenu est partagé entre les différents protagonistes.

La police est-elle prête ?

« Cela devient une problématique très contemporaine observe Me Darrière, d’autant que ce sont des délits qui peuvent valoir le coup : ils sont simples à réaliser pour des jeunes rompus aux nouvelles technologies et comportent finalement peu de risques  ».

L’avocat observe que le transfert entre le cambriolage à l’ancienne et la cybercriminalité n’est pas encore endigué par les autorités : « La cybercriminalité demande bien plus d’investigation et surtout de temps pour des enquêteurs qui en manquent, ainsi, les plaintes déposées ne mènent souvent à rien  ». On parle, selon l’avocat, de forces de police souvent dépassées par les nouvelles technologies, peu à l’aise en anglais, et qui parviennent peu à mener à bien leurs enquêtes. Il ajoute que les unités spécialisées, accaparées par le terrorisme, ne peuvent assurer le traitement de ce type d’infractions du quotidien.

Des forces de police souvent dépassées par les nouvelles technologies

Me Darrière confesse que dans la profession, les avocats font davantage appel à des privés dans ce type d’affaires pour fournir des éléments que les enquêteurs ne trouveraient pas. « Il devient courant de faire le travail d’investigation pour nos clients, à l’américaine. On fait donc de plus en plus appel à des détectives privés qui se développent sur ce genre de problématique  » conclut-il. Pour lui, les affaires comme celle de Cdiscount sont amenées à se multiplier, et deviennent bien plus probables qu’un cambriolage pour les Français. Un constat que confirment déjà les victimes auprès de l’ONDRP.

Partager sur les réseaux sociaux