Yves Rocher victime d’une faille de sécurité: les données de 2,5 millions de clients exposées

Les failles de sécurité font elles aussi leur rentrée. Et pour les plus grands groupes français, elles peuvent émaner de leurs prestataires. Le temps de quelques heures, le cabinet de conseil en retail Aliznet, prestataire du groupe Yves Rocher, a rendu par inadvertance les données de clients du groupe de cosmétiques accessibles en ligne. Un intervalle suffisant pour permettre à la société israélienne de cybersécurité vpnMentor de repérer la faille.

vpnMentor a dans un premier temps fait valoir la possibilité d'accéder aux données de 2,5 millions de clients, essentiellement canadiens, de l’entreprise, qui avaient commandé des produits en ligne ou créé un compte sur le site marchand. Parmi les données accessibles en ligne, leurs noms, numéros de téléphone, emails ou dates de naissance. 

vpnMentor a par ailleurs, et toujours par le biais de cette faille, pu accéder à une liste de six millions de commandes réalisées sur le site d'Yves Rocher. Le montant des transactions réalisées, la devise utilisée, la date ainsi que le point de livraison étaient facilement accessibles. 

La réponse d'Yves Rocher

Le 27 septembre, Yves Rocher a néanmoins apporté les conclusions d'un audit technique interne. "Il s’avère que contrairement à ce qui a été annoncé dans la presse par la société de cybersécurité qui a découvert cette faille, toutes les données contenues dans cette base étaient des données fictives créées pour effectuer un test. Le fait que certains noms communs au Canada, créés dans cette base de test, correspondaient à des noms de clientes est purement fortuit", conclut l'entreprise. "De même, il est confirmé qu’aucune donnée bancaire, email et N° de téléphone ne correspondaient à des données réelles de nos clientes canadiennes."

Un accès temporaire

L'audit vient confirmer certains éléments transmis par le prestataire d'Yves Rocher à la suite du dévoilement de la faille. "Un événement était organisé chez Yves Rocher il y a quelques jours. Pour l'occasion, on a ouvert un serveur d'intégration pour procéder à des tests, qui n'était pas assez protégé", faisait savoir Aliznet auprès de BFM Tech. "La faille a depuis rapidement été résorbée. Les données accessibles n'étaient pas forcement à jour et assez disparates, bien qu'elles aient pu comporter des échantillons d'informations potentiellement réelles".

L'exposition de ces données, bien que temporaire, comporte des risques. Ces mêmes informations peuvent constituer une mine d'or pour des pirates habitués à les manipuler. "L'accès aux adresses physiques, aux adresses mail et aux numéros de téléphone peut permettre à des acteurs malveillants de se livrer à des opérations de phishing ou à lancer des rançongiciels", note vpnMentor.

Pour rappel, le phishing, ou hameçonnage, consiste en la tentative de subtiliser des informations personnelles ou bancaires par des moyens détournés, dont l'envoi de faux mails. Ces opérations peuvent également ouvrir la voie à des rançongiciels, qui verrouilleront les données d'une victime et exigeront le versement d'une rançon pour les récupérer.