«Digitec subit sans cesse des attaques»
TECHNOLOGIE Digitec et Galaxus, deux des principaux sites de vente en ligne de Suisse, ont récemment été associés à des attaques de pirates informatiques. Oliver Herren, responsable de la technologie au sein de ces deux entreprises, donne sa version des f
Que se passe-t-il avec les données des internautes suisses? En 2017, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information Melani a émis plusieurs messages d’alerte pour avertir que des sets de données, comprenant identifiants et mots de passe, étaient disponibles sur Internet. Le dernier avertissement date du 5 décembre, lorsque Melani informait que des informations appartenant à 70 000 Suisses étaient en mains de pirates informatiques. Plusieurs fois, le nom de Digitec. ch et Galaxus.ch – deux sites de vente en ligne contrôlés par Migros – ont été cités par les médias comme étant la source des données volées.
Ces deux sites sont aujourd’hui en passe de devenir des Amazon version suisse. Jeudi, Galaxus annonçait qu’il vendait désormais les 24000 articles de Globus – qui appartient aussi à Migros – sur son site. Galaxus propose aujourd’hui un million d’articles différents, soit deux fois plus qu’une année auparavant, en devenant une plateforme de vente pour d’autres marques. Oliver Herren, responsable de la technologie au sein de Digitec et Galaxus, explique les cyberattaques que subissent les deux sites.
Dans quelle mesure avez-vous été victime de piratage en 2017? En tant que plus grand commerçant en ligne de Suisse, nous sommes constamment exposés aux attaques de pirates. Deux incidents distincts ont eu lieu cette année. Le premier est intervenu en été, lorsque des pirates informatiques, qui avaient en leur possession des millions de logins et de mots de passe, les ont testés de manière automatique sur nos sites. Comme certains de nos utilisateurs avaient les mêmes identifiants et mots de passe sur leurs comptes Digitec et Galaxus que sur d’autres sites, les pirates ont pu s’identifier chez nous. Mais nous avons détecté ces attaques, les clients ont été avertis et les mots de passe réinitialisés.
Quels dégâts ont été causés? En profitant du fait que certains clients utilisent le même mot de passe dans le cadre de 3-D Secure et de leur carte de crédit, les fraudeurs ont pu commander des licences électroniques de logiciels. L’avantage pour les escrocs: ce type de logiciels ne sont pas livrés physiquement et se revendent facilement. Nous n’avons pas eu de chance, car quelques jours après cette attaque, nous installions un système pour empêcher ce type de connexion automatique. Les entreprises de cartes de crédit et nous-mêmes avons payé les dommages. Nos clients n’ont donc subi aucun préjudice.
Quel a été le deuxième incident? Nous avons des raisons de croire que des escrocs sont en possession des coordonnées de certains de nos clients. Les données potentiellement touchées sont le nom, le sexe, le numéro de téléphone, l’adresse et l’adresse e-mail. Les données dérobées ont été ensuite utilisées pour des e-mails de phishing. Jusqu’à ce jour, 52 clients touchés nous ont contactés – un très petit nombre comparé à l’écho médiatique. C’est pourquoi nous poursuivons actuellement la thèse selon laquelle nous n’étions pas directement la source de la fuite, mais peut-être une ou plusieurs de nos entreprises partenaires. Nous travaillons avec des fournisseurs, des commerçants affiliés et des centres de services qui ont besoin des données personnelles précitées pour exécuter leurs services. Ces partenaires peuvent être la source de ces attaques.
Le 5 décembre, Melani parlait de 70 000 données en circulation… Elles ne concernent pas nos clients, c’est certain. Comme nous sommes le commerçant en ligne le plus grand et le plus connu de Suisse, nous sommes malheureusement souvent, par réflexe, montrés du doigt pour ces annonces. Nous avons accédé à la liste – libre d’accès – des 70000 comptes piratés et l’avons comparée avec nos données de clients. Le mot de passe des clients touchés a été réinitialisé. Le problème est que de nombreux Suisses utilisent les mêmes données de connexion pour toutes les boutiques en ligne et les systèmes de paiement – et aussi pour tous les médias sociaux. Cela reviendrait à ne jamais fermer votre maison ou voiture à clé et à laisser votre vélo sans antivol au coin d’une rue. Un logiciel de gestion de mots de passe résoudrait rapidement le problème.
Deux jours après cette attaque, une enquête du «Tages-Anzeiger» montrait que ces données provenaient d’un site de vente de DVD. Regrettez-vous que Melani n’indique jamais quel site a été attaqué? Melani fait ce qu’elle peut, avec les moyens qu’elle a. La centrale coopère bien avec nous, mais elle a peu de ressources et peu de spécialistes en cybersécurité. C’est ainsi. Je n’ai pas de critique à faire envers Melani. Mais l’Etat devrait faire davantage pour nous protéger contre les cyberattaques. Nous subissons continuellement des attaques. Nous devons dépenser des sommes importantes pour les contrer… et nous sommes un peu livrés à nous-mêmes. Et l’Etat ne fait pas grand-chose pour nous. Dans le monde physique, la police va tout de suite pourchasser un voleur. Dans le cyberespace, il y a une sorte d’impunité que je trouve regrettable.
▅
RESPONSABLE
DE LA TECHNOLOGIE AU SEIN DE DIGITEC ET GALAXUS
«L’Etat devrait faire davantage pour nous protéger contre les cyberattaques» La centrale de distribution de Digitec et Galaxus à Wohlen. Les deux sociétés soeurs, propriétés de Migros, proposent désormais un million d’articles différents, soit le double par rapport à la fin de 2016.