Yves Rocher : une fuite de données mettant à nu les informations personnelles des clients
Suite à une faille de sécurité apparue chez Launay, prestataire du groupe cosmétique Yves Rocher, ce dernier a vu des informations personnelles reliées à sa clientèle divulguer sur internet.
Mais il était porté à notre connaissance que la vulnérabilité a été corrigée et les informations ont été mis en sécurité.
Cet article va aussi vous intéresser : Airbus, victime d’attaque informatique à répétition
Ce genre de cas de figure n’est pas du tout un fait isolé. On voit généralement les grands groupes, français surtout, sont généralement attaquer en passant par le prestataire. Pas si longtemps que ça, c’était le cas de Airbus qui était exposé ici. Dans notre cas d’espèce, la société spécialisée en conseil, dénommé Aliznet, a malencontreusement laisser des informations personnelles des clients du groupe français échapper sur Internet durant quelques heures avant de rattraper son erreur. Un temps suffisant qui a permis à une société israélienne spécialisée en cybersécurité « vpMentor » de déterminer la faille qui en était la cause.
La société de sécurité informatique israélienne a d’abord démontré qu’il y avait une possibilité d’accéder facilement aux données d’environ 2,5 millions de clients particulièrement de nationalité canadienne. Parmi les données qui ont été exposées, il y avait des noms et prénoms, des numéros de téléphone, des emails et des dates de naissance. La firme israélienne à encore réussi à accéder à des listes des commandes en particulier, une qui présentait 6 millions de commande produit sur le site du groupe français, avec les devis et les dates de livraison. Après un tel audit technique, le groupe français a fini par conclure : « Il s’avère que contrairement à ce qui a été annoncé dans la presse par la société de cybersécurité qui a découvert cette faille, toutes les données contenues dans cette base étaient des données fictives créées pour effectuer un test. Le fait que certains noms communs au Canada, créés dans cette base de test, correspondaient à des noms de clientes est purement fortuit »
L’entreprise français a aussi confirmé aucune donnée bancaire n’a été dérobé. Ni aucun numéro de téléphone d’ailleurs. Pour le moment on ne sait pas si des pirates informatiques ont pu profiter de la faille. Mais une enquête a toujours en cours pour déterminer l’ampleur de cette fuite.
Aucun sous-traitant du côté du groupe français n’a encore présenté des failles similaires. On pourra donc dire que cela est un cas isolé. Cependant quelle sera la sanction imposée à Yves Rocher. En effet des données personnelles mon bel et bien fuitées. De son côté la commission nationale de l’informatique et des libertés tu n’as pas encore fait une déclaration. On se demande pourra être sa réaction face à une telle bourde. Qui sera pointé comme responsable ? Le sous-traitant ou le groupe français.
Notons que les données qui ont échappé à la vigilance des sous-traitants permettent d’identifier certains clients, avec des informations précises sur leur domicile et leur identité. On se demande bien quelles mesures a été prise pour leur sécurité.
Accédez maintenant à un nombre illimité de mot de passe :