Les données bancaires des clients ayant effectué des achats entre le 11 juin et le 14 novembre sur Lepape.com ont pu être « interceptées ». Le revendeur informe ses clients et recommande à ceux concernés de faire opposition au plus vite.
C’est via un email envoyé à ses clients que le revendeur annonce la mauvaise nouvelle : le « site de e-commerce www.lepape.com a fait l’objet d’une cyberattaque sophistiquée ». Aucun détail supplémentaire n’est par contre donné, que ce soit sur les moyens techniques utilisés et/ou l’identité des pirates.
Dans son message, le président et fondateur de la société affirme que ce serait le premier « incident de cybersécurité » en 20 ans. L’occasion de rappeler à tout le monde que la question n’est finalement pas de savoir si cela arrivera un jour, mais quand. Dans le cas présent, le pot aux roses a été découvert le 14 novembre et des correctifs ont été immédiatement appliqués.
Toutes les informations des cartes bancaires dans la nature
Néanmoins, certaines données relatives à des paiements réalisés depuis le 11 juin 2020 ont été « interceptées par les attaquants ». L’entreprise liste l’étendue des dégâts :
« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».
Le revendeur conseille aux clients concernés de contacter leur banque pour faire opposition dès que possible et, le cas échéant, « obtenir l’annulation des éventuels paiements frauduleux déjà engagés ». Il rappelle aussi que si des transactions frauduleuses ont été réalisées avant l’opposition, ils peuvent contacter le téléservice Perceval pour les signaler.
Nous avons contacté le service client, qui confirme la fuite de données et l’envoi de cet email. Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté… la précision de « données interceptées » prend donc tout son sens. Nous avons contacté le service communication du revendeur pour avoir de plus amples informations sur ce point, nous mettrons à jour cette actualité le cas échéant.
Une communication « feutrée », la CNIL a été notifiée
Hormis l’envoi d’un email aux clients, aucune communication n’est pour le moment faite sur les réseaux sociaux ni sur son site. Espérons que ce sera rapidement le cas, ne serait-ce que pour éviter que des clients pensent à un phishing ou bien pour informer ceux qui auraient changé d’adresse email entre temps.
La société présente enfin ses excuses à ses clients et précise que, bien évidemment, des mesures ont été prises pour que cela ne re reproduise pas. Lepape affirme enfin qu’une plainte a été déposée auprès du commissariat de Police et que la CNIL a été notifiée. Aucun geste commercial n’est pour le moment annoncé aux clients concernés.
