Près de 500 clients de Cdiscount ont vu leurs coordonnées bancaires dérobées et utilisées pour acheter d’onéreux produits sur le site. L’affaire, menée par un commanditaire encore inconnu, est le fait de sept adolescents de la Drôme. Et si les premiers échos sur le sujet faisait état d’un piratage des serveurs de Cdiscount, l’entreprise affirme qu’il s’agit d’une simple campagne de phising particulièrement efficace. Décryptage.
Ils ont entre 13 et 17 ans. Ils vivent dans la Drôme. Certains viennent de la même famille. Mi-décembre 2017, ils ont été interpelés. Ils ont reconnus les faits. Ils achetaient des produits sur Cdiscounts, les payaient avec des coordonnées bancaires volées, puis récupéraient les colis et les remettaient à un commanditaire pour l’heure inconnu. Ils récupéraient jusqu’à 60 euros par colis.
Des produits à forte valeur ajoutées frauduleusement achetés par des adolescents
Ils ont été trahis par leurs adresses IP – preuve qu’ils sont loin d’être des pirates informatiques professionnels : la piste d’une tête pensante utilisant ces adolescents (et leurs adresses IP) pour ses larcins semblent aujourd’hui la plus plausible. Ce qui signifie que ce fameux commanditaire est probablement loin des services de police…
L’escroquerie a démarré en juin : 491 clients de Cdiscount sont concernés. « De nombreux produits à forte valeur ajoutée tels que des tablettes et appareils photo numériques, téléphones portables, vêtements de marque et de l’électroménager ont ainsi été frauduleusement acquis. Ces marchandises étaient ensuite livrées dans des points-relais, implantés dans la Drôme » détaille au Point une source proche de l’enquête.
Les serveurs de Cdiscount ont-ils été piratés ?
Mais au-delà des faits bruts, l’une des questions centrales de cette affaire est de savoir comment les pirates ont récupérés les coordonnées bancaires. D’après cette source, aucun doute n’est permis : les hackers se sont introduits dans les bases de données de Cdiscount et ont pu accéder aux fichiers regroupant les comptes clients et les références bancaires liées. Il suffisait ensuite de s’en servir pour commander sur le site d’e-commerce. Le préjudice est évaluée à 350 000 euros.
L’affaire tombe d’autant plus mal que Cdiscount a déjà été épinglé pour ses manquements à la Loi informatique et libertés. En octobre 2016, la CNIL avait mis en demeure le site de corriger une dizaine de défauts de ce type dont… la conservation en clair de numéro de cartes bancaires ! Quelques mois plus tard, constatant des mesures prises par Cdiscount pour renforcer sa sécurité, avait levé la mise en demeure. Le site avait affirmé que ces défauts étaient le fait d’un sous-traitant.
Le site parle d’une campagne de phishing réussie…
Mais ce nouveau scandale, à quelques jours de Noël, période d’intense activité pour les sites de e-commerce, fait tâche pour Cdiscount. Face à l’emballement médiatique, les responsables du site ont réagi promptement. Le 15 décembre, un porte-parole expliquait au Figaro : « Il est important de préciser qu’il n’y a pas eu de piratage du site CDiscount. Aucune faille de sécurité n’a été constatée. Ces clients ont été abusés par des mails frauduleux suite auxquels ils ont livré leurs coordonnées bancaires ».
Il s’agirait donc d’une banale opération de phishing réussie, à grande échelle. Pourquoi pas, mais dans ce cas, pourquoi l’enquête n’évoque que Cdiscount ? Une arnaque au phishing réussie donne au pirate des coordonnées bancaires, qu’il utilise rarement sur un unique site, surtout 500 fois de suite en quelques mois… Des produits auraient pu être achetés ailleurs, très facilement.
… mais peine à convaincre de cette justification !
Ou alors le phishing ne concernait que les accès au compte client personnel Cdiscount des clients lésés. Cette option est plus crédible, mais ce n’est, étrangement, pas ce que le porte-parole a dit au Figaro. La communication de crise est un art délicat, provoquant parfois des raccourcis ou des approximations, mais on est en droit de douter un peu des explications de Cdiscount.
Et nous laisserons le dernier mot, plein de bon sens, à un policier en charge de l’enquête : « Pour éviter ce genre de désagrément, il suffit de ne jamais enregistrer son numéro de carte de paiement sur les sites de vente en ligne. Ainsi, le client ne laisse pas de trace de ses coordonnées bancaires. »