Des devis de clients Darty se sont retrouvés référencés par Google, laissant fuiter des données personnelles. Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l'expliquer et annonce un renforcement de sa sécurité.
Les fuites de données sont malheureusement de plus en plus monnaie courante, certaines étant plus graves que d'autres. Le cas dont il est question aujourd'hui est assez particulier. En effet, via une simple requête sur des moteurs de recherche, il était possible de trouver des devis de clients Darty contenant des informations personnelles.
Hébergés sur le site du revendeur, ils étaient librement accessibles. Ce n'est désormais plus le cas et nous avons bien entendu attendu que le cache des moteurs de recherche se vide avant de publier cette actualité. Contacté par nos soins, Darty nous donne des pistes pour expliquer cette fuite, qui ne concerne qu'une poignée de clients.
Explication probable : un copier/coller malheureux
En effet, 26 devis au format PDF appartenant à 25 clients différents étaient disponibles sur Darty.com. À l'intérieur, les nom, prénom, adresse, email, numéro de dossier, référence de l'appareil concerné (avec numéro de série, date d'achat, date de fin de garantie...), explication du problème, tarif de la réparation, etc.
Les devis « sont transmis aux clients via des URL aléatoires » nous explique un responsable du revendeur, ajoutant qu'il ne comprenait du coup pas comment ils avaient pu être référencés par Google. De plus, seuls 26 devis sont concernés alors que la plateforme en regroupe plusieurs dizaines de milliers.
Voici un exemple d'URL utilisé par Darty pour transmettre un devis à un client :
https://xxxx.darty.com/yyy/zzz/OGM0MzU2NWIxOTFiMGM1MWIyOWU2YzBkY2Y1xxxxxxx/22143yyyy.pdf
« L'hypothèse la plus probable étant que les liens ont été copiés/collés sur des forums » par les clients eux-mêmes, et ensuite repérés par les moteurs de recherche. « A priori, c'est techniquement la seule façon dont cela a pu se produire » ajoute le revendeur. On s'étonne tout de même qu'une telle section ne soit pas interdite aux moteurs ou qu'aucune vérification ne soit mise en place concernant l'accès à ces documents.
Lors de ses investigations, Darty est également tombé sur des devis uploadés tels quels sur des forums par des clients, ce qui le conforte dans son hypothèse de départ. « Sauf nouvelle hypothèse émise par notre DSI, c'est vraiment [les clients] qui ont volontairement mis les URL en ligne » nous confirme Darty.
La sécurité va être renforcée, les clients prévenus par email
Dans tous les cas, le revendeur nous précise qu'il « va sécuriser davantage ses devis, probablement avec un système de mot de passe ». Les 25 clients concernés vont être contactés via email par le revendeur. Ce dernier leur proposera au passage « un rappel à la prudence » pour éviter que cela ne se reproduise.
Une mesure de bon sens que chacun devrait suivre : il faut toujours être très prudent quant aux données personnelles, aux fichiers et aux liens que l'on peut transmettre en public sur Internet. Le cas d'aujourd'hui est le parfait exemple de documents qui se sont retrouvés référencés sur les moteurs de recherche, alors que cela n'aurait pas dû être le cas.
Comme toujours en pareille situation, le principal risque est une attaque par phishing : un pirate pourrait essayer de se faire passer pour Darty (en exploitant les informations contenues dans le devis) et ainsi tenter récupérer d'autres données, comme les identifiants et mot de passe du compte d'un client.
