Cyril Brosset
Des données personnelles de clients dans la nature
Des clients du vendeur de meubles en ligne Delamaison.fr ont eu la surprise de recevoir par e-mail un faux bon de commande dans lequel figuraient leur nom et leur adresse. Cette tentative de phishing (hameçonnage) un peu spéciale semble indiquer que des données personnelles ont été dérobées.
Des centaines, des milliers, peut-être plus. Il y a quelques jours, de nombreux internautes ont reçu le même mail. Censé provenir du site de vente de mobilier Delamaison.fr, celui-ci se présentait sous la forme d’un bon de commande confirmant la livraison d’un barbecue. Le message précisait que le paiement avait été débité, mais qu’il était encore possible d’annuler la commande en cliquant sur un lien et en fournissant quelques données confidentielles.
Si le document avait tout d’un vrai, il s’agissait en réalité d’un faux créé par des escrocs. En fait, aucune commande n’a été passée, aucun débit n’a été effectué. Quant au site vers lequel renvoyait le lien, il s’agissait d’une contrefaçon du site montée de toute pièce. Cette arnaque n’avait qu’un but : récupérer un maximum d’identifiants, de mots de passe et de données bancaires.
Cette tentative de phishing avait toutefois la particularité peu fréquente de reprendre souvent le prénom et l’adresse postale du destinataire. De toute évidence, ces données personnelles ainsi que les adresses mails associées ont été volées.
Trois victimes recensées
Chez Delamaison.fr, on reconnaît le problème, mais on assure avoir réagi immédiatement. « Dès que nous avons eu connaissance de cette tentative de phishing, nous avons alerté les services de la brigade de cybercriminalité pour qu’ils bloquent le site en question et nous avons pris des mesures pour nous assurer qu’aucune donnée ne pouvait être volée, explique Thierry Benhaïm, le directeur général de Delamaison.fr, qui a repris la société il y a deux mois. Nous avons également adressé un e-mail à nos clients et diffusé un message d’alerte sur les réseaux sociaux. Enfin, nous avons renforcé notre service client pour les aider et répondre à leurs questions. Une plainte a également été déposée auprès du procureur ». Malgré le recours à deux experts, le dirigeant assure ne pas avoir trouvé l’origine de la fuite. « Nous ne sommes même pas certains que ces données, qui remontent à plusieurs années, aient été volées sur nos serveurs », explique Thierry Benhaïm. Celui-ci est en revanche formel sur un point : « En aucun cas le pirate n’a pu accéder aux mots de passe de nos comptes clients et encore moins aux données bancaires qui ont été utilisées lors de précédentes commandes ». De fait, comme quasiment tous les cybermarchands français, les paiements effectués sur le site Delamaison.fr ne transitent jamais par ses serveurs.
Reste que des personnes ont pu cliquer sur le lien contenu dans l’e-mail frauduleux et transmettre leurs coordonnées bancaires via le faux site, avant que celui-ci ne soit désactivé. Delamaison.fr affirme avoir, à ce jour, recensé trois cas, « mais aucun prélèvement ». Si vous vous souvenez avoir donné suite à un e-mail de ce type, contactez votre banque. Si des prélèvements frauduleux ont été effectués, elle est tenue de vous les rembourser.