Monde – Alerte de Sécurité et Phishing pour les clients Ebay

23 mai 2014
Temps de lecture estimé : 3 min

"Ebay-Phishing-clients"Alerte de Sécurité et Phishing pour les clients Ebay

C’est une série noire pour la « cybersécurité » amorcée depuis plusieurs mois qui déferle sur l’activité du « Commerce Électronique« . La défiance des consommateurs est à l’échelle

de l’ampleur de la menace actuelle de détenir un compte ou de réaliser un paiement par carte bancaire sur le Web. Cette fois, il s’agit de la société EBAY et d’une intrusion de ses bases de données clients qui oblige la firme américaine à prévenir près de 150 Millions d’utilisateurs dans le Monde. De quoi donner le tournis et constater qu’une fois de plus, les commerçants (cf. les épisodes de l’affaire TARGET) n’intègrent pas une politique de cybersécurité à la hauteur de la menace mondiale que représente les agissements de hackers à leur encontre.

« Nous nous excusons des désagréments que cette situation a pu vous causer. eBay est une place de marché mondiale et pour cette raison, la sécurité ainsi que la confiance de nos utilisateurs est primordiale. Nous savons que nos utilisateurs attendent beaucoup d’eBay et nous nous engageons à leur garantir une expérience en ligne sécurisée quel que soit l’appareil utilisé pour accéder à notre site.« . C’est avec ce message que le Président « EBAY Market-Places« , Monsieur Devin WENIG s’est adressé par courriel aux clients de la plateforme de ventes aux enchères.

Cependant, force est de constater que l’intrusion par des hackers ne date pas de ce mois, mais bien dans la période comprise entre la fin du mois de février et début mars 2014. Soit plus de deux mois après les faits !!! Le temps pour les hackers d’exploiter les informations de la base de données (pseudo, mot de passe, adresse email, adresse postale, numéro de téléphone et date de naissance des membres) et de potentiellement réaliser une attaque par Phishing. Surprenant et affligeant !!

Est-il acceptable de la part d’une société aussi connue qu’EBAY d’informer ses clients, deux mois après une attaque de son système d’information ? Évidemment que non et on peut s’interroger légitimement sur l’efficience d’une politique de sécurité et de communication clients qui ne sont pas satisfaisants compte-tenu du nombre potentiel d’utilisateurs concernés par cette cyberattaque. Prenons le cas de la France, ce ne sont pas moins de 15 Millions de membres ayant pu être impacté, soit 25% de la population française.

La société se veut toutefois rassurante en poursuivant son communiqué de Presse par : « Cependant, ce fichier ne contenait aucune information financière et après avoir effectué un audit minutieux de nos systèmes informatiques, nous ne soupçonnons pas que les données financières ou de carte de crédit de nos membres aient été affectées. Par ailleurs, rien n’indique qu’il y ait une augmentation importante de l’activité frauduleuse sur notre site« .

Et précise avoir pris des mesures complémentaires : « Nous maintenons nos systèmes de protection renforcée afin de contrer tout accès non autorisé aux comptes des acheteurs et des vendeurs. Nous avons adopté des mesures de sécurité supplémentaires visant à protéger nos utilisateurs.« .

La vraie question est de comprendre pourquoi la société EBAY réagit seulement après avoir constaté une faille de sécurité de son système d’information. Avait-elle intégré, dans sa politique, des mesures préventives intégrant un audit à fréquences rapprochées compte-tenu de son degré d’exposition aux hackers ? S’agit-il d’une nouvelle faille de sécurité de son site qui permettrait aux autres cybermarchands de ne pas subir le même sort ?

La communication des entreprises, en temps de crise, n’est pas encore adaptée aux craintes légitimes des clients afin de les rassurer comme il se doit. Une impression forte, en lisant le communiqué de Presse, d’une réactivité deux mois après les faits n’est pas faite pour gagner la confiance des clients. En effet, EBAY propose de changer le mot de passe d’accès au site au mois de mai, alors que l’intrusion remonte au mois de février 2014.

Aucune information n’ayant filtré sur les conséquences financières liées au vol des données, il est fort probable que dans les semaines à venir, la société reviendra sur ce fait majeur.

La Rédaction

All Rights Reserved – Tous Droits Réservés

Tags , , ,
Georges Langeais

Ingénieur informatique, diplômé Executive MBA. Professionnel de la « Monétique, Sécurité et Ecommerce » auprès d'acteurs majeurs (Banque, Éditeurs - France - Europe - USA). Enseignant Chercheur & Maitre de Conférences Associé (Moyens de Paiement - Cybersécurité - Transformation Digitale).

Top