Pour une fois, le vol de données personnelles de clients d'une entreprise vient de l'interne. Un haut responsable d'un important site de Cdiscount à Cestas (Gironde) a été mis en examen lundi à Bordeaux soupçonné du vol de données personnelles de potentiellement 33 millions de clients qui ont ensuite été proposées à la vente sur le Darknet, partie cachée d'internet, a appris l'AFP vendredi de sources concordantes. "Ce que nous pouvons clairement affirmer, c'est qu'aucune donnée bancaire n'est concernée par cet événement, Cdiscount ne stockant aucune donnée bancaire de ses clients" , a assuré Cdiscount dans un communiqué à l'AFP.
À l'issue de sa garde à vue, ce "responsable d'entrepôt de la société Cdiscount a été déféré au parquet et présenté à un juge d'instruction" le 1er février, a indiqué le parquet de Bordeaux à l'AFP. Le cadre a été mis en examen des chefs d'"extraction frauduleuse de données contenues dans un système de traitement automatisé", d'"abus de confiance" et d'"escroquerie", "au préjudice de Cdiscount", sur la période du 1er octobre 2020 au 30 janvier 2021, selon le parquet qui confirmait une information du journal Sud Ouest. Placé sous contrôle judiciaire, il est également visé par une procédure de mise à pied à titre conservatoire, a précisé à l'AFP Arnaud Dupin, avocat de la société de commerce en ligne Cdiscount.
Filiale du groupe Casino depuis 2000, Cdiscount est le n°2 en France du e-commerce, derrière Amazon, mais premier acteur français du secteur. Elle a son siège à Bordeaux et dispose d'un de ses plus importants entrepôts logistiques à Cestas, en Gironde. Selon Cdiscount, qui a porté plainte, le cadre mis en examen est le directeur du site de Cestas. Le vol de données a été découvert le 29 janvier par les "services de cybersécurité" de la société qui a alors "immédiatement lancé des investigations internes" . Celles-ci "ont permis d'établir qu'il s'agissait d'une action interne malveillante et isolée et de faire cesser cet acte dès le lendemain" , a expliqué un porte-parole de Cdiscount dans un communiqué à l'AFP.
La justice soupçonne le cadre d'avoir téléchargé illégalement sur son ordinateur une base contenant potentiellement les données personnelles des quelque 33 millions de clients de la plateforme de vente en ligne, selon une source proche du dossier. Pour Cdiscount qui n'a pas souhaité confirmé ce chiffre, ce cadre "a utilisé de façon malveillante les autorisations (informatiques) dont il disposait de manière légitime compte tenu de ses fonctions" pour s'introduire
dans la base.
Les services de cybersecurité de la société ont constaté que cette base de données était proposée à la vente sur le Darknet par un vendeur sous pseudonyme, identifié comme étant le directeur du site de Cestas selon Sud Ouest. "Les données concernées sont le nom, prénom, sexe, date de naissance, adresse, numéro de téléphone et email du client ainsi que le montant total des commandes sur les deux dernières années" , a détaillé Cdiscount en assurant que "rien ne permet de penser que ces données aient pu être vendues" à des tiers. "Dans l'hypothèse où cela aurait été le cas, l'utilisation possible de ce type de donnée est la tentative de phishing ou la prospection commerciale non désirée" , selon Cdiscount. "Au stade de l'enquête, rien ne permet de confirmer la fuite de données hors du périmètre de Cdiscount puisque les ordinateurs du collaborateur ont été saisis" par la police judiciaire en charge des investigations, a ajouté l'avocat de la société Me Arnaud Dupin.
