Quand nous pensons spontanément au piratage d’un site web, on imagine systématiquement une attaque extérieure causée par des personnes expertes en informatiques et malintentionnées… et pourtant l’attaque peut venir de l’intérieur. C’est ce qui s’est passé avec Shopify.
Le vol de données en entreprise par des collaborateurs : un fléau difficile à contenir
Le 22 septembre 2020 dernier, la plate-forme e-commerce Shopify, qui fournit sa solution de vente en ligne en SaaS à des milliers de clients dans le monde, annonçait sur son blog (https://community.shopify.com/c/Shopify-Discussion/Incident-Update/td-p/888971) qu’il avait subi un piratage de données, non pas par le biais d’une faille ou brèche informatique identifiée par des pirates, mais par 2 de leurs collaborateurs travaillant au support, qui ont exporté les données de transaction personnelles de près de 200 sites marchands e-commerce. Les sites concernés sont plutôt d’importants sites avec un volume conséquent de transaction, l’attaque n’est pas le fruit du hasard mais semble être ciblée sur des sites spécifiques, dont des boutiques françaises.
À partir du 23 décembre 2020, les équipes Shopify ont contacté les différentes entreprises concernées par ce vol de données personnelles de clients, et parmi elles, des entreprises françaises sont concernées, qui ont directement communiqué auprès de leurs clients par e-mail pour les avertir du problème rencontré. Les données impactées ne sont pas les moyens de paiement, mais plutôt les données des transactions : produits achetés,
Le point positif, s’il fallait en trouver un, est que ce vol de donnée n’a pas été occasionné de l’extérieur, par le biais d’une faille informatique, mais belle et bien en interne par 2 salariés de l’entreprise : autrement dit, la technologie de Shopify n’est pas à remettre en cause ici, mais plutôt à la gouvernance des données, et particulièrement à la gestion des collaborateurs ayant accès à des données sensibles, en leur limitant les possibilités d’exportation des données clients.
L’e-mail reçu par les clients victimes du vol de leurs données personnelles :
Voici une copie de l’e-mail reçu récemment par un des clients d’une des boutiques utilisant Shopify :
« Notre plateforme e-commerce Shopify nous a récemment alerté d’un incident survenu fin septembre.
Shopify est une plateforme très reconnue, côté sur le marché boursier américain, qui compte plus d’1 000 000 de sites e-commerce.
Ils disposent d’un département Cyber Sécurité à la hauteur de leur réputation et c’est d’ailleurs la raison pour laquelle nous les avons choisis.
Mercredi 30 décembre 2020, Shopify nous a alertés que deux de leurs agents étaient parvenus à exporter les données transactionnelles de plus de 200 sites e-commerce à travers le monde… dont nous faisons malheureusement partie.
Il s’agit d’un problème d’accès en interne, non d’une vulnérabilité du système.
Les données exportées sont les emails, adresses de livraison et produits achetés. Aucune donnée bancaire n’a pu être exportée, ni aucune donnée privée que vous nous transmettez de manière individuelle via nos (nombreux) formulaires.
Il s’agit uniquement des informations liées à la livraison et facturation.
Shopify a immédiatement pris les mesures de sécurité nécessaires s’agissant des salariés en question et a lancé une investigation complète sur les raisons de ce vol de données et leur potentielle utilisation litigieuse.
Nous sommes sincèrement navrés de cet incident, indépendant de notre volonté. Vous savez à quel point votre confiance est primordiale pour nous. Nous avons immédiatement procédé à des modifications de tous les mots de passe en interne.
Nous vous recommandons d’être vigilant si vous recevez des spams non désirés. »