Lepape.com piraté : noms, numéros de carte bancaire, dates d’expiration et cryptogrammes dans la nature

Lepape.com piraté : noms, numéros de carte bancaire, dates d’expiration et cryptogrammes dans la nature

Oups !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

18/11/2020
22

Lepape.com piraté : noms, numéros de carte bancaire, dates d’expiration et cryptogrammes dans la nature

Les données bancaires des clients ayant effectué des achats entre le 11 juin et le 14 novembre sur Lepape.com ont pu être « interceptées ». Le revendeur informe ses clients et recommande à ceux concernés de faire opposition au plus vite.

C’est via un email envoyé à ses clients que le revendeur annonce la mauvaise nouvelle : le « site de e-commerce www.lepape.com a fait l’objet d’une cyberattaque sophistiquée ». Aucun détail supplémentaire n’est par contre donné, que ce soit sur les moyens techniques utilisés et/ou l’identité des pirates.

Dans son message, le président et fondateur de la société affirme que ce serait le premier « incident de cybersécurité » en 20 ans. L’occasion de rappeler à tout le monde que la question n’est finalement pas de savoir si cela arrivera un jour, mais quand. Dans le cas présent, le pot aux roses a été découvert le 14 novembre et des correctifs ont été immédiatement appliqués.

Toutes les informations des cartes bancaires dans la nature

Néanmoins, certaines données relatives à des paiements réalisés depuis le 11 juin 2020 ont été « interceptées par les attaquants ». L’entreprise liste l’étendue des dégâts :

« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».

Le revendeur conseille aux clients concernés de contacter leur banque pour faire opposition dès que possible et, le cas échéant, « obtenir l’annulation des éventuels paiements frauduleux déjà engagés ». Il rappelle aussi que si des transactions frauduleuses ont été réalisées avant l’opposition, ils peuvent contacter le téléservice Perceval pour les signaler. 

Nous avons contacté le service client, qui confirme la fuite de données et l’envoi de cet email. Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté… la précision de « données interceptées » prend donc tout son sens. Nous avons contacté le service communication du revendeur pour avoir de plus amples informations sur ce point, nous mettrons à jour cette actualité le cas échéant. 

Une communication « feutrée », la CNIL a été notifiée

Hormis l’envoi d’un email aux clients, aucune communication n’est pour le moment faite sur les réseaux sociaux ni sur son site. Espérons que ce sera rapidement le cas, ne serait-ce que pour éviter que des clients pensent à un phishing ou bien pour informer ceux qui auraient changé d’adresse email entre temps.

La société présente enfin ses excuses à ses clients et précise que, bien évidemment, des mesures ont été prises pour que cela ne re reproduise pas. Lepape affirme enfin qu’une plainte a été déposée auprès du commissariat de Police et que la CNIL a été notifiée. Aucun geste commercial n’est pour le moment annoncé aux clients concernés.

22

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Toutes les informations des cartes bancaires dans la nature

Une communication « feutrée », la CNIL a été notifiée

Commentaires (22)


LeJuge Abonné
Le 18/11/2020 à 15h 26

Surement que les paiements s’effectuaient sur un site “pirate” qui alimentait quand même le site du paiement avec les données des CB pour ne pas être découvert, j’ai déjà vu cela sur un Prestashop mais la boutique en question n’a pas, à ma connaissance, avertit ces clients !
Un moyen pour voir la supercherie, vérifier que tous les paiements ne viennent pas de la même adresse IP.


koocotte Abonné
Le 18/11/2020 à 15h 32

LeJuge a dit:


Surement que les paiements s’effectuaient sur un site “pirate” qui alimentait quand même le site du paiement avec les données des CB pour ne pas être découvert.




Plus probablement les paiements se faisaient normalement, mais un petit bout de javascript non prévu envoyait en prime les données bancaires vers un site tiers.


Le 18/11/2020 à 16h 26

Ca va ma commande chez eux date d’avant le 14 juin. J’ai eu une frayeur en lisant votre article. :oops:


sarbian Abonné
Le 18/11/2020 à 16h 35

“et le cryptogramme visuel”. Que la CNIL interdit de stocker….


anagrys Abonné
Le 18/11/2020 à 16h 45

OnePlus avait eu le même problème quand j’avais acheté mon 5T, les infos bancaires étaient interceptées par un petit bout de JS qui avait été placé sur leur serveur.
À l’époque je n’avais rien eu à faire : ma banque m’a appelé dès que l’info est sortie pour me dire que ma CB avait été compromise, qu’elle était bloquée et qu’ils avaient commandé la nouvelle.


Le 18/11/2020 à 16h 49

@seboquoi Veinard. La mienne date du 3 novembre et j’ai dû faire opposition. Reste à voir s’il y des prélèvements frauduleux dans les tuyaux…


Le 18/11/2020 à 17h 22

Les infos sont stockées en clair ? C’est pas très catholique comme méthode :transpi:


Winderly Abonné
Le 18/11/2020 à 17h 41

« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».



J’aime beaucoup le (sic). :mdr2:


Winderly Abonné
Le 18/11/2020 à 17h 44

spidermoon a dit:


Les infos sont stockées en clair ? C’est pas très catholique comme méthode :transpi:




:dix:


Le 18/11/2020 à 19h 30

Et sinon un article sur les soucis technique de nextinpact depuis qq semaines c’est pour quand ? Ca commence à souler les 504503 intempestives :craint:



Ou mieux, que les soucis soient résolus!


Le 19/11/2020 à 09h 35

Moi J’ai rien observé de tel.



Ah si pardon, parfois l’envoi de commentaire donne un bandeau d’erreur rouge.



sarbian a dit:


“et le cryptogramme visuel”. Que la CNIL interdit de stocker….



spidermoon a dit:


Les infos sont stockées en clair ? C’est pas très catholique comme méthode :transpi:




c’est de l’interception de données


Le 18/11/2020 à 19h 50

Et dans ce cas là d’opposition c’est toujours le client qui paye sa nouvelle carte bancaire alors que la faute repose sur le marchand. D’autant plus qu’il y a eu une faute de stocker les numéros de CB
Si on forçait le marchand à payer les frais de renouvellement de cartes bancaire ils feraient sûrement plus attention à la sécurité.


Le 18/11/2020 à 19h 54

Visiblement, Le Pape a aussi des soucis du côté de son compte Instagram:rem:


Reghr Abonné
Le 19/11/2020 à 09h 18

spidermoon a dit:


Les infos sont stockées en clair ? C’est pas très catholique comme méthode :transpi:




Lire dans l’article :
“Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté”


Reghr Abonné
Le 19/11/2020 à 09h 22

(quote:1837860:Ninja-Veloce)
Et dans ce cas là d’opposition c’est toujours le client qui paye sa nouvelle carte bancaire alors que la faute repose sur le marchand. D’autant plus qu’il y a eu une faute de stocker les numéros de CB Si on forçait le marchand à payer les frais de renouvellement de cartes bancaire ils feraient sûrement plus attention à la sécurité.




Décidément, quelques personnes commentent systématiquement sans même prendre le temps de lire les 10 lignes de l’article !


Le 19/11/2020 à 10h 15

Pour la première fois, prévenu directement par ma banque qui a bloqué ma carte toute seule, et m’en envoie une.
Pas mal, vu que je lis jamais mes mails des sites marchands!


bmot Abonné
Le 21/11/2020 à 19h 14

J’ai fait une commande sur ce site le 8 septembre mais par PayPal donc mon numéro n’a pas fuité par ce site. Mais il a quand même fuité via un autre site car le 11 novembre dernier, j’ai reçu des sms de ma banque m’indiquant que 2 paiements avaient été refusés pour cause de date de validité incorrecte. Je suis curieux de savoir par quel site…


Le 23/11/2020 à 09h 21

Reghr a dit:


Décidément, quelques personnes commentent systématiquement sans même prendre le temps de lire les 10 lignes de l’article !




L’article a été lu, si les numéros n’étaient pas stockés il n’y aurait pas besoin de faire opposition


Mihashi Abonné
Le 23/11/2020 à 11h 24

(reply:1838693:Ninja-Veloce)



Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté… la précision de « données interceptées » prend donc tout son sens.



Reghr Abonné
Le 24/11/2020 à 15h 37

(quote:1838693:Ninja-Veloce)
L’article a été lu, si les numéros n’étaient pas stockés il n’y aurait pas besoin de faire opposition




Pas stockés, INTERCEPTES