C’est devenu un cas d’école, des vulnérabilités chez un prestataire provoquent une exposition des données personnelles des clients. Aujourd’hui, la société Aliznet est sur la sellette. Consultant auprès des groupes de la distribution, la firme française comprend comme client IBM, Salesforce, Sephora, Louboutin, Inwi (un opérateur marocain) et Yves Rocher. Selon vpnMentor, start-up israélienne spécialisée dans les VPN, le groupe de cosmétique a particulièrement été touché par des vulnérabilités chez Aliznet avec un pack de données de 2,5 millions de clients exposé dont la majorité est basée au canada.
Deux chercheurs de vpnMentor, Noam Rotem et Ran Locar, recensent différentes vulnérabilités : une API mal intégrée dans une application réalisée par Aliznet pour Yves Rocher, un serveur Elasticsearch mal sécurisé. Sur ce dernier, la firme de sécurité a accédé à plusieurs parties de la base de données d’Aliznet, comprenant les noms, prénoms, numéro de téléphone, adresse mail, date de naissance, code postal,… La base renseigne aussi sur le « FID Number », que certains pays assignent pour les envois internationaux et les taxes.
Des commandes clients aux données internes
Dans la même veine, les deux chercheurs ont découvert dans cette même base, l’enregistrement de 6 millions de commandes clients. Montant, type de monnaie utilisée, date de livraison, localisation du magasin, le nom et l’identifiant du salarié qui s’est occupé de la commande, ainsi que le numéro client, sont des informations disponibles. Et ce n’est pas fini, des données internes à Yves Rocher ont été exposées comme des statistiques sur le trafic au sein des boutiques, le turn over, le niveau des commandes, sans parler de la description et les ingrédients de 40 000 produits, les prix et les codes de promotion. Du pain béni, si un concurrent tombait sur cet ensemble de données.
Aliznet, interrogé par nos confrères de BFM TV, a expliqué qu’« un événement était organisé chez Yves Rocher il y a quelques jours. Pour l'occasion, on a ouvert un serveur d'intégration pour procéder à des tests, qui n'était pas assez protégé ». Depuis les révélations de la start-up israélienne, les failles ont été colmatées.
MAJ: le groupe Yves Rocher a apporté quelques précisions sur cette affaire.
"Suite à une erreur de paramétrage lors d’un test réalisé par un prestataire informatique de la marque Yves Rocher sur le marché canadien, certaines données de clientes canadiennes ont été rendues potentiellement accessibles pendant plusieurs heures en août dernier. Ce prestataire a immédiatement corrigé cette erreur lorsqu’elle a été découverte. Par la suite, les équipes de cybersécurité d’Yves Rocher n’ont constaté aucune fuite ni activité malveillante pendant le court laps de temps pendant lequel cette base de données était mal sécurisée. Aucune donnée n’a donc été piratée. Cet incident de sécurité cyber est clos, sans dommage et ne concerne pas d’autre pays que le Canada.
Une enquête a été menée par les équipes de cybersécurité d’Yves Rocher pour analyser l’incident. Cette enquête a permis de préciser la nature des données concernées : les seules données réelles contenues dans cette base test étaient les noms, prénoms et codes postaux d’environ 300 000 clientes domiciliées au Canada. Cette base créée pour réaliser un test contenait également environ 2,2 millions de données de clientes fictives, ce qui explique le chiffre annoncé au départ de 2,5 millions de clientes concernées. Autre précision : aucune donnée bancaire, adresse postale et email, date de naissance ou numéro de téléphone n’a été rendue accessible. Concernant les 6 millions de commandes, il s’agit de vrais tickets de caisse mais datant d’il y a plusieurs années. Toujours dans le cadre du test, ils ont été affectés aléatoirement aux clientes vraies ou fictives pour simuler un historique. Même lorsqu’ils ont été affectés à de vraies clientes, il n’y a aucun lien réel entre la cliente et les achats, ceux-ci ayant été réalisés par d’autres clientes il y a plusieurs années. De plus, l’accès à cette base de test n’aurait pas permis de savoir qui a réellement réalisé ces achats.
La marque Yves Rocher présente ses excuses les plus sincères à ses clientes concernées et met tout en œuvre pour qu’une telle erreur ne puisse plus se produire."