Décathlon Espagne bouche une fuite de données personnelles

Posted On 01 Mar 2020

Des centaines d’informations appartenant à Décathlon Espagne découvertes dans un cloud mal sécurisé. Des données de magasins, d’employés et d’utilisateurs rapidement sécurisés.

Toujours la même méthode, toujours le même type de fuite. Référencer les cloud « mal » sécurisés et en sortir, dans les cas les plus marquants, des informations non sécurisées. Nouvelle victime de ce type de problème, Décathlon Espagne, qui a oublié de fermer correctement les portes d’un de ses espaces nuagique. La découverte date du 12 février 2020. Décathlon a été notifié quatre jours après cette découverte. Pourquoi autant de temps ? Les « chercheurs » ont extraits les informations pour les analyser (sic!).

Dans ce cloud, les mots de passe des employés, les numéros de sécurité sociale, les téléphones portables, les adresses, des mails de clients … 123 millions de logs pour un stockage de 9 Go.

Cette boulette concernait Décathlon Espagne, mais aussi « une forte possibilité qu’elles incluent des informations de Décathlon Royaume-Uni » affichent le professionnel de la vente de VPN derrière cette annonce.

Depuis Décathlon Espagne, a assuré à Europe Press (qui reprenait le communiqué de presse du vendeur de VPN) que « cet incident n’a pas affecté de données sensibles […] la découverte concernait 0,03% de données d’utilisateurs et les 99,97% restants sont des données techniques internes […] En aucun cas, mots de passe ou numéros de carte de crédit ou informations personnelles privées n’ont été affectés« .

L’interconnexion des bases de données, et leurs sauvegardes, un enjeu de taille pour les entreprises. Un petit exemple personnel vécu il y a quelques jours. Si vous vous rendez au Décathlon de Montréal, et que vous n’avez pas pensé à prendre votre carte de fidélité de l’enseigne sportive. Il suffit de fournir votre nom pour que la filiale des cousins du Grand Nord vous ressorte vos informations tirées du Vieux Continent. Pratique… mais inquiétant, même si je sais aussi que les professionnels de la cyber, chez le géant du sport français, sont des personnels ultra compétents au point, par exemple, d’avoir mis en place un système de chiffrement 100% « À fond la forme« .

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.