Faut-il attendre qu’une faille de sécurité compromise nos données personnelles pour que les grandes entreprises réagissent? C’est la question que soulève la récente découverte d’une brèche majeure chez le géant de la mode Express, révélée en exclusivité par TechCrunch. Combien de clients ont été exposés, et pourquoi ce genre de vulnérabilité persiste-t-il alors que les alertes se multiplient?
Selon TechCrunch, Express a dû patcher en urgence son site web : un défaut de sécurité permettait à n’importe qui d’accéder aux pages de confirmation de commandes d’autres clients – un accès direct à des données à caractère sensible, comme les noms, adresses, numéros de téléphone, emails, détails des achats et même les quatre derniers chiffres de cartes bancaires. Comment expliquer qu’une telle quantité de données personnelles ait pu être indexée par les moteurs de recherche, à la vue de tous?
L’affaire a démarré lorsque le spécialiste en sécurité Rey Bango, cherchant à comprendre une transaction suspecte sur le compte de sa famille, s’est retrouvé nez à nez avec les coordonnées d’un autre client… via Google! N’ayant trouvé aucune vraie procédure pour alerter Express, il s’est tourné vers TechCrunch, qui a confirmé la faille et constaté qu’il suffisait de modifier un simple numéro dans l’URL pour accéder à des centaines, voire des milliers de commandes. L’enchaînement paraît presque trop simple pour être vrai : la politique de sécurité d’Express était-elle à ce point négligée?
Les failles les plus graves sont souvent révélées au hasard, et rarement signalées dans des conditions idéales.
Face à l’urgence, Express a corrigé la brèche après le signalement, mais la transparence n’a pas suivi. L’enseigne n’a pas dit si elle avertirait les clients exposés, ni comment elle gérait la remontée des vulnérabilités. Faut-il rappeler que la loi américaine oblige à notifier certaines autorités et les clients en cas de fuite de données? Pourquoi ce silence gêné autour des moyens de contact ou des logs permettant de retracer qui a accédé à quoi?
Le phénomène n’est pas isolé. D’autres grandes enseignes, dont Home Depot et Petco, ont récemment été épinglées pour avoir exposé des données internes ou des informations sur leurs clients. Or, chaque incident montre la difficulté pour les lanceurs d’alerte de signaler ces failles, et la lenteur — voire la réticence — des entreprises à informer le public ou à corriger rapidement leurs systèmes. Les consommateurs doivent-ils s’inquiéter de confier leurs informations à des sites qui peinent à écouter la communauté sécurité et à se remettre en question?
L’incident Express interroge alors : à quand une réelle politique de divulgation responsable et transparente chez les géants de la distribution en ligne ? Quels garde-fous pour garantir le respect de la vie privée numérique ?
Source : Techcrunch
