Dans un communiqué publié samedi, Cdiscount indique que ses services de cybersécurité ont détecté le 29 janvier dernier un acte de malveillance avec pour conséquence un vol de données. Selon le groupe français de commerce en ligne (filiale de Casino), il n'y a eu aucune intrusion externe.
Il s'agissait d'un acte de malveillance en interne émanant d'un cadre du groupe qui disposait des autorisations idoines eu égard à ses fonctions. Cdiscount écarte donc une défaillance de ses systèmes de sécurité.
Les données volées concernent le nom, prénom, sexe, adresse email, adresse postale, numéro de téléphone, ainsi que le montant total des commandes des deux dernières années. Cdiscount souligne que les données bancaires ne sont pas concernées, dans la mesure où le groupe ne les stocke pas lui-même.
Pas de compromission de la sécurité de Cdiscount.com
Dans sa communication, Cdiscount ajoute qu'à ce stade de l'enquête, aucun élément ne permet de confirmer une vente des données. Potentiellement, elles sont par exemple utiles pour des tentatives de phishing ou de la prospection commerciale.
Cdiscount précise avoir alerté la Cnil (Commission nationale de l'informatique et des libertés) et avoir déposé plainte pour " vol et maintien frauduleux dans un système de traitement automatisé de données " auprès du Parquet de Bordeaux. Le siège social de Cdiscount est à Bordeaux.
Selon le quotidien régional Sud Ouest, un responsable d'un site de Cdiscount à Cestas en Gironde a été mis en examen. Il est soupçonné du vol de données personnelles de 33 millions de clients. Un chiffre qui n'a pas été confirmé par Cdiscount, tout comme une mise en vente des données sur le Darknet. La période des faits reprochés irait du 1er octobre 2020 au 30 janvier 2021.
