BFM Business

Ils piratent 491 comptes de clients Cdiscount et achètent pour 300.000 euros de marchandises

Le préjudice est estimé par Cdiscount à près de 350 000 euros.

Le préjudice est estimé par Cdiscount à près de 350 000 euros. - Jean-Pierre Muller-AFP

Des mineurs ont été interpellés pour avoir commandé pour 300.000 euros de produits sur Cdiscount avec des coordonnées bancaires dérobées à 491 clients de l'e-commerçant. Celui-ci dément tout piratage, invoquant du "phishing" (emails frauduleux) ayant visé ses clients.

La fraude sur les sites d'e-commerce a fait de nouvelles victimes : 491 clients de Cdiscount dont les comptes clients et les coordonnées bancaires ont été piratés. Ce nouvel épisode de cyberdélinquance a été révélé avec l'interpellation de plusieurs suspects dont au moins deux mineurs de 13 et 15 ans à Valence (Drôme), durant la deuxième semaine de décembre, dans cette affaire révélée par Le Point.

Leur arrestation est la première étape judiciaire d'un dossier qui a commencé en juin 2017 lorsque des clients de Cdiscount ont été victimes d'achats en ligne frauduleux réalisés avec leurs cartes bancaires. Au fil des semaines, 491 clients du site marchand ont déposé plainte. Le préjudice est estimé à 300.000 euros. La marchandise était payée avec des coordonnées bancaires et des comptes clients piratés.

Cdiscount avait été épinglé par la CNIL en 2016

Pour Cdiscount, qui a porté plainte et compte se porter partie civile dans cette affaire, il ne s'agit pas d'un piratage de son site marchand, aucune faille de sécurité n'ayant été identifiée.

En 2016, la filiale de Casino avait été épinglée par la CNIL pour des manquements graves faisant état de 4000 numéros de cartes bancaires associées pour certaines à des cryptogrammes visuels, stockées sur le site "de manière non sécurisée".

Pour Cdiscount, aucun piratage de son site n'est en cause

Mais chez Cdiscount, la direction de la communication affirme que toutes ces anomalies et failles ont été corrigées depuis cette mise en demeure. L'e-commerçant assure en fait que les coordonnées des comptes clients piratés ont été récupérées par les cyberdélinquants lors de campagnes d'emails frauduleux (technique du phishing) dont ses clients ont été victimes.

De leur côté, les personnes interpellées ont assuré, selon Le Point, avoir agi pour le compte d'un commanditaire, dont ils n'ont pas dévoilé l'identité. Selon leurs déclarations, ils ont été chargés, moyennant 60 euros à chaque fois, de récupérer les commandes frauduleuses passées sur Cdiscount et livrées dans des points-relais tous situés dans la Drôme, localisation qui a permis leur identification puis leur interpellation.

Les policiers continuent leurs investigations en quête d'autres cyberdélinquants et d'autres actes de piratage qui pourraient avoir été commis.

Frédéric Bergé