Ce site possède des millions de données de cartes bancaires et un piratage de sa base de données peut tout simplement devenir catastrophique. Ces incompétents notoires conservaient en clair, lisibles par tous, 4 179 numéros de cartes bancaires de clients avec leur cryptogramme ! Même pas besoin de pirater, juste copier ! Jamais d’histoire de l’ humanité, nous n’avons été aussi vulnérables, aussi fragiles !
La Commission nationale de l’informatique et des libertés (Cnil) a épinglé le géant de la vente en ligne pour des « manquements graves » à la protection des données personnelles.
Plusieurs milliers de cartes bancaires avec cryptogramme à l’accès non sécurisé. Des annotations comme « cliente imbécile » ou « client ayant un cancer » dans les dossiers. Des cookies qui se nichent dans votre ordinateur pour trente ans. Ou encore des coordonnées conservées des années, même pour des internautes qui ont demandé qu’elles soient retirées.
La liste des manquements de Cdiscount établie par la Cnil fait froid dans le dos. Hier, la Commission nationale de l’informatique et des libertés a rendu publics sur son site Internet un avertissement et une mise en demeure prononcés le 26 septembre à l’encontre du géant du e-commerce français. « Même si pour l’avertissement, ces faits sont aujourd’hui résolus, nous avons jugé qu’il fallait rendre la décision publique parce que les défauts de sécurité étaient graves et nombreux, ainsi que pour sensibiliser les autres acteurs de la vente à distance à la question, souligne un porte-parole de la Cnil. Vu la taille et la solidité de Cdiscount, on aurait pu s’attendre à une sécurité un peu plus carrée. »
C’est un euphémisme. Cdiscount a enregistré 20 millions de ventes pour un chiffre d’affaires de 2,7 Mds € en 2015. Cela représente 2 millions de visiteurs et 85 000 ventes par jour. Or, lors d’une mission de contrôle le 11 février dernier, les agents de la Cnil ont observé que la société conservait en clair, dans les champs de commentaires, 4 179 numéros de cartes bancaires de clients. Parmi ceux-ci, 3 000 assortis de leur cryptogramme dont 2 104 toujours en cours de validité. Cerise sur le gâteau, cette base était accessible en interne mais aussi à l’ensemble des prestataires externes.
« Une enquête interne a montré que ces dysfonctionnements étaient limités à un seul centre d’appels […]Adeline Daboval — Yahoo Actualités / Le Parisien