Décathlon a récemment été exposé à une faille de sécurité qui aurait causé la fuite de 123 millions de données concernant essentiellement les employés, mais également des clients. La faute à la découverte d’une base de données de l’entreprise, sur laquelle étaient stockées ces mêmes données. Les systèmes de sécurisation de cette base de données n’étaient pas assez bien configurés : aucun chiffrement, aucun mot de passe… Un navigateur banal aurait pu suffire pour accéder à ces millions d’informations concernant employés et clients. Cette base a été clôturée très rapidement.
On trouvait sur cette base de données 123 millions d’entrées provenant de l’activité de différents magasins Décathlon. La majorité de ces entrées concernent des salariés espagnols et, de façon moindre, des salariés britanniques. De ce fait, “un trésor de données (…) tout ce dont un pirate malveillant aurait besoin pour prendre le contrôle de comptes et accéder à des informations privées », déclarent les chercheurs en sécurité de vpnMentor, le site qui a découvert la faille le 12 février. L’accès à la base de données a été protégé le 17 février seulement.
Cette faille est très problématique : elle met en péril l’intimité des employés concernés puisque certains ont vu des données très personnelles potentiellement divulguées, comme leur identité, leur adresse personnelle, de messagerie, leur numéro de téléphone, de sécurité sociale, le lieu et leurs horaires de travail, leur contrat… Même si la situation reste problématique, les clients concernés sont moins touchés : “seulement” leurs mots de passe et identifiants ont été révélés.
Décathlon tente de nous rassurer : selon l’entreprise, peu de ces données peuvent réellement intéresser les pirates. Mais cette fuite de données reste toutefois anormale, dans la mesure où des personnes malveillantes pourraient user de ces informations pour usurper l’identité de certains employés. On peut même imaginer que des clients ou des personnes malintentionnées pourraient rechercher les employés qui leur ont déplu et les attaquer physiquement puisqu’ils savent où ils habitent. Heureusement, les données bancaires sont stockées sur d’autres serveurs tout à fait sécurisés.
VpnMentor a un seul conseil à donner aux salariés concernés, il s’agit de demander à leur employeur des informations précises concernant cette faille : sont-ils concernés ? Leurs données personnelles ont-elle été exposées ?
Par Jeanne Gosselin, le
Source: Les Numériques
Étiquettes: sport, donnees, clients, employes, faille-de-securite, decathlon
Catégories: Cybersécurité, Brèves