Une faille de sécurité considérable chez Yves Rocher

Les données de 2,5 millions de clients d’Yves Rocher ont été exposées des heures durant à cause d’une faille informatique. Touchant essentiellement les clients canadiens, cette fuite a surtout révéler les manques en terme de cybersécurité du groupe de cosmétiques.

Yves Rocher a dérapé. Pendant plusieurs heures, les données de 2,5 millions de clients de la marque, essentiellement canadiens, ont été accessibles en ligne. Les noms, les adresses, les numéros de téléphone, les dates de naissance. Une véritable aubaine pour les hackers, pirates et arnaqueurs en ligne !

Cette faille béante dans la sécurité informatique du groupe cosmétique provient d’une erreur d’un prestataire du cabinet de conseil de l’enseigne, Aliznet.

« Un serveur pas assez protégé »

« Un événement était organisé chez Yves Rocher il y a quelques jours. Pour l’occasion, on a ouvert un serveur d’intégration pour procéder à des tests, qui n’était pas assez protégé » s’explique le prestataire du cabinet de conseil. Avant d’essayer de rassurer en déclarant : « La faille a depuis été résorbée. Les données accessibles n’étaient pas forcément à jour et assez disparates, bien qu’elles aient pu comporter des échantillons d’informations potentiellement réelles ».

C’est la société israélienne de cybersécurité vpnMentor qui a détecté la faille, et a ainsi pu accéder aux informations privées en s’infiltrant sur le serveur. Cet incident a aussi divulgué plus de six millions de commandes réalisées sur le site d’Yves Rocher. Et avec elles, le détail des transactions : montant, mode de paiement utilisé, adresse de livraison…

Cette faille de sécurité est extrêmement dangereuse pour les clients. Elle pourrait en effet aboutir à des cyberattaques comme la récupération et l’utilisation des coordonnées bancaires (le phising) ou la prise en otage de donnés personnelles (le ransomware). Les clients doivent croiser les doigts pour que la faille n’ait pas été exploitée par un cyber-criminel avant d’être refermée… Sinon, elle risque d’enrichir les gigantesques bases de données personnelles en vente sur le dark web…

Le RGPD

En Europe, un règlement établi par la Commission Européenne, en vigueur depuis 2018, permet de protéger les données personnelles des clients. Le RGPD (Règlement Général de la Protection des Données) s’applique donc à chaque entreprise enregistrant des données personnelles de résidents européens ou des organisateurs au sein de l’Union Européenne. Toute société commerciale doit s’y soumettre sous peine d’une sanction financière équivalente à 4% du chiffre d’affaire mondial.

Pas encore de commentaires

Les commentaires sont fermés