Un cadre de Cdiscount suspecté d’avoir dérobé les données de 33 millions de clients

Un haut responsable de Cdiscount, travaillant sur le site de Cestas (Gironde), a été mis en examen lundi 1er février à Bordeaux. Il est soupçonné du vol de données personnelles de potentiellement 33 millions de clients, dont au moins une partie ont ensuite été proposées à la vente sur des sites spécialisés.
A l’issue de sa garde à vue, ce « responsable d’entrepôt de la société Cdiscount a été déféré au parquet et présenté à un juge d’instruction » le 1er février, a indiqué le parquet de Bordeaux à l’Agence France-Presse (AFP). Le cadre a été mis en examen des chefs d’« extraction frauduleuse de données contenues dans un système de traitement automatisé », d’« abus de confiance » et d’« escroquerie », « au préjudice de Cdiscount », sur la période du 1er octobre 2020 au 30 janvier 2021, selon le parquet, qui confirmait une information du journal Sud Ouest. Placée sous contrôle judiciaire, cette personne est également visée par une procédure de mise à pied à titre conservatoire, a précisé à l’AFP Arnaud Dupin, avocat de Cdiscount.
Téléchargement découvert le 29 janvier Filiale du groupe Casino depuis 2000, Cdiscount est le no 2 en France du e-commerce, derrière Amazon, mais premier acteur français du secteur. L’entreprise a son siège à Bordeaux et dispose d’un de ses plus importants entrepôts logistiques à Cestas, en Gironde. Selon Cdiscount, qui a porté plainte, le cadre mis en examen est le directeur du site de Cestas.
Le vol de données a été découvert le 29 janvier par les « services de cybersécurité » de la société, laquelle a alors « immédiatement lancé des investigations internes ». Celles-ci « ont permis d’établir qu’il s’agissait d’une action interne malveillante et isolée et de faire cesser cet acte dès le lendemain », a expliqué un porte-parole de Cdiscount à l’AFP dans un communiqué.
La justice soupçonne le cadre d’avoir téléchargé illégalement sur son ordinateur une base contenant potentiellement les données personnelles des quelque 33 millions de clients de la plate-forme de vente en ligne, selon une source proche du dossier.
Pour Cdiscount qui n’a pas souhaité confirmer ce chiffre, ce cadre « a utilisé de façon malveillante les autorisations [informatiques] dont il disposait de manière légitime, compte tenu de ses fonctions », pour s’introduire dans la base. D’après les services de sécurité de l’entreprise, la base de données a ensuite été proposée à la vente en ligne par un vendeur sous pseudonyme, identifié comme étant le directeur du site de Cestas, selon Sud Ouest.
Incertitude quant à l’utilisation des données Le Monde a pu constater qu’une base de données d’environ 124 000 noms, semblant correspondre au fichier utilisé par le service client de Cdiscount, était proposée au téléchargement depuis la mi-janvier sur un site spécialisé.
« Ce que nous pouvons clairement affirmer, c’est qu’aucune donnée bancaire n’est concernée par cet événement, Cdiscount ne stockant aucune donnée bancaire de ses clients », a assuré l’entreprise dans son communiqué. « Les données concernées [par le vol] sont les nom, prénom, sexe, date de naissance, adresse, numéro de téléphone et e-mail du client, ainsi que le montant total des commandes sur les deux dernières années », a détaillé l’entreprise, qui a aussi expliqué que « rien ne permet de penser que ces données aient pu être vendues » à des tiers.
« Dans l’hypothèse où cela aurait été le cas, l’utilisation possible de ce type de données est la tentative de phishing [escroquerie par laquelle un pirate tente de soutirer des informations personnelles, le plus souvent en se faisant passer pour un service légitime] ou la prospection commerciale non désirée », avertit Cdiscount.
