Yves Rocher : Les données de 2,5 millions de clients exposés pendant des heures à cause d’une faille informatique

CYBERSECURITE Les données exposées par ce problème de sécurité concernaient essentiellement des clients canadiens de la marque

20 Minutes avec agence

— 

L'enseigne Yves Rocher.
L'enseigne Yves Rocher. — CHAUVEAU NICOLAS/SIPA

Pendant quelques heures, les données de 2,5 millions de clients Yves Rocher ont été accessibles en ligne. Cette faille de sécurité provient d’un problème lié à un prestataire du groupe cosmétique : le cabinet de conseil Aliznet, révèle vpnMentor.

La plupart des données concernaient des clients canadiens, précise l’entreprise israélienne de cybersécurité, relayée par BFMTV. Les noms, numéros de téléphone, e-mails ou dates de naissance de millions de comptes ont ainsi été exposés sur Internet.

Six millions de commandes exposées

« Un événement était organisé chez Yves Rocher il y a quelques jours. Pour l’occasion, on a ouvert un serveur d’intégration pour procéder à des tests, qui n’était pas assez protégé », a expliqué le prestataire, se voulant rassurant. « La faille a depuis rapidement été résorbée. Les données accessibles n’étaient pas forcément à jour et assez disparates, bien qu’elles aient pu comporter des échantillons d’informations potentiellement réelles. »

vpnMentor signale aussi qu’elle a réussi à avoir accès à une liste de six millions de commandes réalisées sur le site d’Yves Rocher. Le montant des transactions réalisées, la monnaie utilisée et l’adresse de livraison étaient visibles. Autant d’informations qui, mises entre des mains malveillantes, peuvent aboutir à des attaques de type phishing (récupération et utilisation des coordonnées bancaires) ou ransomware (prise en otage de données personnelles).