Mais à quel point sommes-nous vraiment à l’abri lorsque nous confions nos informations à une plateforme de livraison ? C’est la question que l’on se pose après la récente annonce de DoorDash concernant une nouvelle fuite de données. Si le géant américain de la livraison affirme que « aucune donnée réellement sensible n’a été compromise », doit-on s’en inquiéter ? Et combien d’utilisateurs sont concernés exactement ?
DoorDash reconnaît avoir été la cible d’une attaque ayant abouti à la fuite de noms, adresses physiques, numéros de téléphone et adresses email, touchant à la fois clients, livreurs, et commerçants. Pourtant, la société n’a communiqué aucun chiffre sur le nombre réel de victimes. Pourquoi ce manque de transparence ? Faut-il craindre des répercussions futures alors que DoorDash affirme n’avoir relevé aucun usage frauduleux de ces données à l’heure actuelle ?
Plus surprenant encore, la faille provient d’une simple erreur humaine : selon DoorDash, un employé aurait mordu à l’hameçon d’une attaque de social engineering. Ce type de manipulation, qui vise à soutirer des informations en exploitant la confiance des personnes, est pourtant bien connu dans le secteur. Comment expliquer qu’un acteur majeur comme DoorDash n’ait pas mieux formé ses salariés à ce genre de risques ?
Peut-on encore faire confiance aux plateformes qui gèrent au quotidien tant de données privées ?
Ce n’est pas la première fois que la sécurité de DoorDash est remise en cause. En 2019 déjà, la société avait tardé cinq mois avant de détecter une fuite ayant exposé les données de près de cinq millions d’utilisateurs, suite à une erreur d’un prestataire externe. Depuis, le discours officiel se veut rassurant : ni numéros de sécurité sociale, ni cartes bancaires, ni permis de conduire n’auraient été volés cette fois. Mais pourquoi un tel contraste entre la communication de crise et la réalité des incidents ?
Michelle Babin, porte-parole de DoorDash, a soigneusement évité de répondre à la question clé : combien de profils précis sont touchés par la fuite récente ? Pendant ce temps, le groupe affirme avoir coupé l’accès des pirates dès que la brèche a été découverte, ouvert une enquête, et averti la police comme les personnes concernées. Mais est-ce suffisant ?
Si l’on en croit l’historique, DoorDash tarde souvent à sortir du silence après une fuite. Pourquoi les clients et partenaires n’ont-ils pas le droit à plus d’informations concrètes sur l’ampleur du problème ? Le secteur de la livraison, ultra concurrentiel, peut-il se permettre de fragiliser ainsi la confiance de ses usagers ?
Ces révélations nous interpellent tous : face à des cybermenaces de plus en plus élaborées, doit-on revoir en profondeur la gestion des accès et la formation des employés en entreprise ? L’expérience DoorDash ne démontre-t-elle pas finalement les limites du modèle actuel de protection des données ?
Source : Techcrunch
