La semaine dernière, un des partenaires des Galeries Lafayette laissait fuiter des données personnelles de certains clients : numéro et montant de la commande, ainsi qu'adresse de livraison étaient par exemple accessibles à tout le monde. Suite à notre signalement, le souci a été corrigé. Explications.
Les fuites de données sont malheureusement monnaie courante sur Internet, bien que certaines soient plus importantes que d'autres, notamment lorsqu'il est question d'emails et de mots de passe... pas toujours chiffrés. Comme nous l'a signalé un lecteur, que nous remercions au passage, les Galeries Lafayette en ont récemment fait les frais, via un de ses partenaires : Arvato Bertelsmann, une société spécialisée dans la gestion de relation client, le marketing et la logistique.
C'est justement ce dernier point que le problème a été identifié. En effet, lors d'une commande, les Galeries Lafayette fournissaient un lien permettant de suivre son colis. Cette URL se terminait par une série de chiffres du genre « ?c=HYB10xxxxx ». Il suffit alors de changer la fin pour suivre le colis d'autres clients, sans avoir besoin de s'identifier.
On y trouvait des informations sur l'adresse de livraison, le numéro de client de commande et de colis, le type d'envoi, la date de validation ainsi que le montant total de la commande. Il n'était donc pas question d'identifiants de compte avec email et mot de passe. Entre de mauvaises mains, ce genre d'informations pourrait très bien servir à mettre en place une campagne de phishing, mais aussi pour tenter de récupérer des colis de commandes dépassant une certaine valeur marchande.
Bien évidemment dès la découverte mardi de cette brèche, nous avions immédiatement contacté les Galeries Lafayette afin de leur donner tous les détails. Sans réponse de la part du revendeur, nous avons finalement remarqué que la brèche était bouchée vendredi dernier.
Finalement, suite à une relance de notre part, nous avons été contactés samedi midi afin de nous confirmer que la fuite avait bien été colmatée et que des mesures seraient prises afin d'éviter que cela ne se reproduise. Il nous a également précisé que des vérifications avaient lieu de manière régulière, mais cela ne semble malheureusement pas suffisant.
