Cdiscount : un cadre soupçonné du vol des données de 33 millions de clients
Il a été mis en examen des chefs d'"extraction frauduleuse de données contenues dans un système de traitement automatisé", d'"abus de confiance" et d'"escroquerie".
C’est un haut responsable de Cdiscount et travaillant sur le site de Cestas (Gironde) qui a été mis en examen lundi 1er février à Bordeaux. Le parquet a indiqué à l’AFP que ce cadre est suspecté du vol de données personnelles de potentiellement 33 millions de clients. Et une part de ces données ont par la suite été proposées à la vente sur des sites spécialisés. Le parquet précise que suite à sa garde à vue, le “responsable d’entrepôt de la société Cdiscount a été déféré au parquet et présenté à un juge d’instruction”.
Mise en examen et mise à pied
Mis en examen des chefs d'”extraction frauduleuse de données contenues dans un système de traitement automatisé”, d'”abus de confiance” et d'”escroquerie” “au préjudice de Cdiscount”, les faits qui lui sont reprochés couvrent la période du 1er octobre 2020 au 30 janvier 2021. Maître Arnaud Dupin, avocat de la plateforme de vente en ligne, ajoute que le cadre a été placé sous contrôle judiciaire et qu’il est aussi visé par une procédure de mise à pied à titre conservatoire. Selon Cdicount, le mis en cause est le directeur du site logistique de Cestas. Ce sont, affirme un porte-parole de la plateforme, les “services de cybersécurité” qui ont mis au jour le téléchargement des données, et la société a “immédiatement lancé des investigations internes”. Elles “ont permis d’établir qu’il s’agissait d’une action interne malveillante et isolée et de faire cesser cet acte dès le lendemain”.
Les données bancaires non concernées
Cdiscount n’a pas souhaité confirmer le nombre de 33 millions de clients dont les données auraient été “siphonnées”. Mais il “a utilisé de façon malveillante les autorisations [informatiques] dont il disposait de manière légitime, compte tenu de ses fonction”. Dans un communiqué, le numéro 2 en France du commerce en ligne précise en revanche : “Ce que nous pouvons clairement affirmer, c’est qu’aucune donnée bancaire n’est concernée par cet événement, Cdiscount ne stockant aucune donnée bancaire de ses clients (…) Les données concernées [par le vol] sont les nom, prénom, sexe, date de naissance, adresse, numéro de téléphone et e-mail du client, ainsi que le montant total des commandes sur les deux dernières années”. Et si les données ont bien été vendues, ce que rien ne permet d’assurer pour le moment assure la société, “l’utilisation possible de ce type de données est la tentative de phishing [escroquerie par laquelle un pirate tente de soutirer des informations personnelles, le plus souvent en se faisant passer pour un service légitime] ou la prospection commerciale non désirée”.