Si vous vous intéressez un tant soit peu au domaine de l’électronique, vous avez forcément entendu parler de Gearbest, un site d’e-commerce chinois. On y trouve de tout et surtout, on peut acheter des smartphones non distribués en France. Début mars, une faille a été découverte sur un serveur de Gearbest, un problème de sécurité qui a exposé des millions d’enregistrements dont des données liées à ses clients.
C’est un hacker qui a détecté la présence d’un serveur de recherche Elasticsearch non sécurisé – car non protégé par un mot de passe – permettant à n’importe qui d’effectuer des recherches. Cela aurait pu passer inaperçu si une base de données contenant des profils de clients et des commandes n’avait pas été exposée.
Plus d’un million d’informations personnelles accessibles
Ce chercheur, Noam Rotem a déclaré que la base contenait les noms et coordonnées de clients (tel & email), les références des commandes mais aussi la liste de produits achetés. Il y a même trouvé des infos sur des factures dont le montant payé. TechCrunch certifie qu’on pouvait aussi connaître quand la commande avait été passée et où elle avait été livrée. Franchement, ça craint…
En 2019, je trouve dingue d’apprendre qu’il existe encore des failles de sécurité aussi énorme surtout pour un site aussi important que Gearbest. Pour ceux qui ne connaissent ce « monstre » du web, il est distribué dans plus de 250 pays et apparaît dans la liste des 100 meilleurs sites web dans près de 30% d’entre eux.
Partout, on nous rappelle encore et encore qu’il est important de bien choisir ses mots de passe perso. La CNIL a même publié des conseils pour un bon mot de passe et propose l’usage d’un gestionnaire de mots de passe. Elle cite quelques logiciels libres dont ZenyWay dont j’avais parlé à plusieurs reprises lors du lancement de leur solution.
Il y a une semaine, date à laquelle TechCrunch a publié cette info, rien n’avait été fait côté Gearbest et aucune réponse n’avait été apportée aux sollicitations de TechCrunch. Quand on découvre leur rapport publié sur VPNMentor, ça fait froid dans le dos. Après l’avoir lu, même à votre « petite » échelle, vous vous rendrez compte de l’importance de bien sécuriser ses comptes et accès.
Quid du RGPD ?
Même si Gearbest est une société étrangère, du fait qu’elle peut être amené à livrer des clients dans l’Union Européenne, elle est soumise au RGPD (Règlement Général sur la Protection des Données). Dans le cas d’une telle faille, événement qui a entraîné la fuite de données personnelles voire confidentielles, la société est tenue de déclarer cet incident auprès de l’autorité de contrôle. En effet les organismes doivent mettre en place les mesures nécessaires pour :
- Prévenir toute violation de données
- Réagir de manière appropriée en cas de violation, c’est-à-dire mettre fin à la violation et minimiser ses effets.
A priori, Gearbest semble avoir manqué à son devoir. Par contre, pour le consentement, sa politique de confidentialité fait bien référence à ce même RGPD.
Gearbest aurait par exemple pu envoyer un email à ses clients en donnant quelques infos sur cet événement et en les incitant à changer leur mot de passe. Ce n’est pas grand-chose mais ça aurait démontré une certaine implication.
Je vous conseille de rapidement changer votre mot de passe Gearbest. Cela ne changera rien sur les données qui ont pu être récupérées mais c’est le minimum à faire pour éviter toute utilisation de vos accès.