Une affaire de vol de données des clients chez Cdiscount
Le numéro 2 du e-commerce en France derrière Amazon est depuis quelques jours secoués par une affaire d’extraction frauduleuse de données de ses clients. L’acte aurait été commis par un de ses cadres. Que s’est-il réellement passé ?
La découverte de la manœuvre frauduleuse d’extraction de données
C’est le service en charge de la sécurité informatique de Cdiscount qui a découvert les manœuvres de l’employé le 29 janvier 2021. A la suite de cette découverte, des enquêtes ont été diligentées pour mettre au clair ce qui s’est passé. C’est ainsi que d’après les résultats des investigations, il en est ressorti que le cadre en question a effectué un téléchargement non autorisé sur son ordinateur personnel d’une base de données contenant les informations d’environ 33 millions de clients.
C’est sur le site internet darknet que les agents du service de sécurité informatique de Discount ont remarqué qu’une base des données de la société avait été proposée en vente. C’est ce qui a attiré leur attention pour lancer les investigations. Celui qui avait proposé la vente de cette base de données sur darknet avait le pseudonyme du Directeur du site de Cestas de Discount.
Quelles sont les données concernées dans cette affaire ?
D’après les explications de Discount les données extraites par le cadre de la société sont les nom, prénom, email, téléphone de chaque client ainsi que le montant total de leurs commandes sur les deux dernières années. Cdiscount n’a pas voulu penser que les données auraient été déjà vendues. Si c’était le cas, cela serait donc du pishing ou une prospection commerciale non autorisée.
Était-ce une faille de sécurité du système informatique de Cdiscount ?
Cdiscount affirme que le cadre ayant commis l’acte en question avait bel et bien les autorisations nécessaires pour accéder au système et aux données. Cet accès ne devrait avoir que pour but d’effectuer des tâches administratives et de gestion de la société. Cette autorisation ne permettait pas à l’employé d’extraire frauduleusement des données pour ses fins personnelles.