DARTY corrige une fuite de données clients

Posted On 22 Mar 2017

La Commission Informatique et des Libertés fait corriger une fuite de données concernant le spécialiste de la vente d’électroménager Darty.

Fuite de données ? Plusieurs lecteurs de ZATAZ m’ont alerté d’un courriel reçu, le 13 mars, envoyé par le spécialiste de la vente d’électroménager Darty. Ce message, que l’ensemble des clients ne semble pas avoir reçu, indique que l’enseigne « Dans le cadre de [son] process de sécurité et afin d’éviter tout accès frauduleux à votre compte, nous avons donc pris l’initiative de désactiver votre mot de passe sur notre site www.darty.com. Pour avoir à nouveau accès à votre compte, il vous suffit de vous rendre sur www.darty.com et de modifier votre mot de passe en cliquant sur le lien « se connecter », puis sur « mot de passe oublié« . Une demande très étonnante. Ce genre de courriel concerne, la plupart du temps, un accès frauduleux à une base de données ou à la mise en place d’un chiffrement, ce qui impose aux clients de créer de nouveau un mot de passe… ou alors un phishing !

Problème de sécurité chez Darty ? pic.twitter.com/RepCbd7tvA

— keuvun (@keuvun) March 13, 2017

Darty corrige une fuite de données

Il se peut aussi que cela soit dû à la suite d’un protocole d’alerte ZATAZ. Comme vous le savez, je collabore avec la grande dame qu’est la Commission Informatique et Liberté, la CNIL, afin de faire comprendre aux entreprises qui ont des fuites de données clients qu’il va falloir être beaucoup plus sérieux avant mai 2018. Après cette date, la RGPD va entrer en action. Dès la fin mai 2018, les alertes « douces » n’auront plus de raison d’être. Les risques étant pour les sociétés « fuiteuses », en plus d’avoir perdu les données de leurs clients, de se retrouver avec une amende pouvant atteindre 4% de leur chiffre d’affaire mondiale [ou 20 millions d’euros] et de contacter chaque client impacté par un recommandé. Bref, le Règlement général sur la protection des données, c’est dans 1 an !

Pour le cas Darty, j’ai pu faire corriger une fuite de données concernant le système de gestion des messages envoyés par les clients au Service après-vente via le protocole d’alerte zataz n’270220171950.

Des milliers de messages étaient accessibles, très simplement, en modifiant l’url de la requête. Il suffisait de changer le numéro client pour accéder aux autres questions, et réponses de Darty. J’ai pu constater jusqu’à 911.004 questions/réponses. Pour les clients, aucunes données bancaires n’étaient accessibles, mais des adresses mails, des numéros de téléphone et des identités [noms, prénoms] et dans certains cas le numéro de la carte client. Des informations largement suffisantes pour un escroc souhaitant cibler ses victimes. Heureusement, la CNIL a mis fin à cette fuite.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Le site de la WWF en danger face aux pirates informatiques

One Comment

Antony 19/07/2017 at 14:14 Reply

Bonjour,
J’ai été destinataire d’un tel mail.
Toutefois, le hasard a fait qu’une semaine avant, mes coordonnées bancaires ont fuité (j’ai eu des paiements frauduleux par internet) ET mes coordonnées postales ont été utilisées dans une escroquerie par internet (par curiosité, j’ai vérifié le libellé utilisé par les escrocs et celui correspond à celui de mes factures DARTY).
Peut-être est-ce un mauvais concours de circonstance. Mais j’ai quelques doutes..