La police a arrêté un groupe dans la Drôme, suspecté d’avoir utilisé les données bancaires de près de 500 personnes dérobées sur Cdiscount pour procéder à 350 000 euros d’achats. La Cnil avait déjà épinglé le site, notamment parce qu’il stockait les mots de passe de ses clients en clair. A croire que la mise en conformité laissait sérieusement à désirer.
Cinq ou sept adolescents (selon les sources) ont été interpellés dans la Drôme. Ils sont soupçonnés de faire partie d’un réseau utilisant des données bancaires volées dans les bases de Cdiscount pour procéder à des achats en ligne. Le préjudice total est estimé à 350 000 euros et 490 clients de la plateforme ont été lésés.
Selon LCI, les membres de la petite équipe en question ne seraient que des « petites mains » : ils récupéraient les colis et les livraient contre rétribution ou se rémunéraient par la revente des produits. Les interpellés, relâchés depuis, n’ont pu apporter aucun élément quant au piratage dont a pu être victime Cdiscount, pointant un « mystérieux commanditaire ».
Nos confrères affirment que « les policiers ont réussi à remonter l’équipe grâce à des adresses IP ». Une enquête préliminaire a été ouverte pour remonter l’ensemble du réseau et découvrir qui est responsable du vol de données et déterminer son origine. Qui ne devrait pas être trop compliqué à trouver : Cdiscount n’a pas pour réputation de blinder ses bases de données.
Quand ? : la question à 350 000 euros
En octobre 2016, le commerçant s’est fait épinglé par la Cnil, qui constatait entre autres infractions un « manquement à l’obligation d’assurer la sécurité et la confidentialité des données ». Le gendarme des données personnelles notait que la société conservait des numéros de cartes bancaires tronqués dont la date de validité a expiré depuis 2011, qu’elle conservait par défaut les données bancaires des acheteurs et que non seulement elle autorisait les mots de passe faibles (5 caractères) mais qu’en plus ceux-ci étaient conservés en clair dans sa base de données.
La Cnil n’a pas sanctionné Cdiscount suite à sa mise en demeure, la société s’étant mise en conformité. Ce qui visiblement n’a pas suffi… à moins que le piratage soit antérieur au contrôle de la Cnil. Le groupe Casino, propriétaire de Cdiscount, n’a pas encore communiqué sur le sujet, on ne peut donc affirmer avec certitude la date et la nature du vol de données.