Les données bancaires des clients ayant effectué des achats entre le 11 juin et le 14 novembre sur Lepape.com ont pu être « interceptées ». Le revendeur informe ses clients et recommande à ceux concernés de faire opposition au plus vite.
C’est via un email envoyé à ses clients que le revendeur annonce la mauvaise nouvelle : le « site de e-commerce www.lepape.com a fait l’objet d’une cyberattaque sophistiquée ». Aucun détail supplémentaire n’est par contre donné, que ce soit sur les moyens techniques utilisés et/ou l’identité des pirates.
Dans son message, le président et fondateur de la société affirme que ce serait le premier « incident de cybersécurité » en 20 ans. L’occasion de rappeler à tout le monde que la question n’est finalement pas de savoir si cela arrivera un jour, mais quand. Dans le cas présent, le pot aux roses a été découvert le 14 novembre et des correctifs ont été immédiatement appliqués.
Toutes les informations des cartes bancaires dans la nature
Néanmoins, certaines données relatives à des paiements réalisés depuis le 11 juin 2020 ont été « interceptées par les attaquants ». L’entreprise liste l’étendue des dégâts :
« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».
Le revendeur conseille aux clients concernés de contacter leur banque pour faire opposition dès que possible et, le cas échéant, « obtenir l’annulation des éventuels paiements frauduleux déjà engagés ». Il rappelle aussi que si des transactions frauduleuses ont été réalisées avant l’opposition, ils peuvent contacter le téléservice Perceval pour les signaler.
Nous avons contacté le service client, qui confirme la fuite de données et l’envoi de cet email. Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté… la précision de « données interceptées » prend donc tout son sens. Nous avons contacté le service communication du revendeur pour avoir de plus amples informations sur ce point, nous mettrons à jour cette actualité le cas échéant.
Une communication « feutrée », la CNIL a été notifiée
Hormis l’envoi d’un email aux clients, aucune communication n’est pour le moment faite sur les réseaux sociaux ni sur son site. Espérons que ce sera rapidement le cas, ne serait-ce que pour éviter que des clients pensent à un phishing ou bien pour informer ceux qui auraient changé d’adresse email entre temps.
La société présente enfin ses excuses à ses clients et précise que, bien évidemment, des mesures ont été prises pour que cela ne re reproduise pas. Lepape affirme enfin qu’une plainte a été déposée auprès du commissariat de Police et que la CNIL a été notifiée. Aucun geste commercial n’est pour le moment annoncé aux clients concernés.
Commentaires (22)
Surement que les paiements s’effectuaient sur un site “pirate” qui alimentait quand même le site du paiement avec les données des CB pour ne pas être découvert, j’ai déjà vu cela sur un Prestashop mais la boutique en question n’a pas, à ma connaissance, avertit ces clients !
Un moyen pour voir la supercherie, vérifier que tous les paiements ne viennent pas de la même adresse IP.
Plus probablement les paiements se faisaient normalement, mais un petit bout de javascript non prévu envoyait en prime les données bancaires vers un site tiers.
Lepape piraté, ça me fait penser à ça :
La boulette sacrée du Vatican ou quand le pape Francois “like” une photo d’une jeune femme dénudée sur son compte Instagram
Ca va ma commande chez eux date d’avant le 14 juin. J’ai eu une frayeur en lisant votre article.
“et le cryptogramme visuel”. Que la CNIL interdit de stocker….
OnePlus avait eu le même problème quand j’avais acheté mon 5T, les infos bancaires étaient interceptées par un petit bout de JS qui avait été placé sur leur serveur.
À l’époque je n’avais rien eu à faire : ma banque m’a appelé dès que l’info est sortie pour me dire que ma CB avait été compromise, qu’elle était bloquée et qu’ils avaient commandé la nouvelle.
@seboquoi Veinard. La mienne date du 3 novembre et j’ai dû faire opposition. Reste à voir s’il y des prélèvements frauduleux dans les tuyaux…
Les infos sont stockées en clair ? C’est pas très catholique comme méthode
« Ces données sont limitées (sic) à : vos nom et prénom, votre numéro de carte bancaire, la date d’expiration et le cryptogramme visuel (les trois chiffres au verso de votre carte bancaire VISA, Mastercad ou les quatre chiffres au recto de votre carte bancaire AMEX) ».
J’aime beaucoup le (sic).
Et sinon un article sur les soucis technique de nextinpact depuis qq semaines c’est pour quand ? Ca commence à souler les 504⁄503 intempestives
Ou mieux, que les soucis soient résolus!
Moi J’ai rien observé de tel.
Ah si pardon, parfois l’envoi de commentaire donne un bandeau d’erreur rouge.
c’est de l’interception de données
Et dans ce cas là d’opposition c’est toujours le client qui paye sa nouvelle carte bancaire alors que la faute repose sur le marchand. D’autant plus qu’il y a eu une faute de stocker les numéros de CB
Si on forçait le marchand à payer les frais de renouvellement de cartes bancaire ils feraient sûrement plus attention à la sécurité.
Visiblement, Le Pape a aussi des soucis du côté de son compte Instagram…
Lire dans l’article :
“Notre interlocuteur nous précise que les données bancaires ne sont pas stockées de leur côté”
Décidément, quelques personnes commentent systématiquement sans même prendre le temps de lire les 10 lignes de l’article !
Pour la première fois, prévenu directement par ma banque qui a bloqué ma carte toute seule, et m’en envoie une.
Pas mal, vu que je lis jamais mes mails des sites marchands!
J’ai fait une commande sur ce site le 8 septembre mais par PayPal donc mon numéro n’a pas fuité par ce site. Mais il a quand même fuité via un autre site car le 11 novembre dernier, j’ai reçu des sms de ma banque m’indiquant que 2 paiements avaient été refusés pour cause de date de validité incorrecte. Je suis curieux de savoir par quel site…
L’article a été lu, si les numéros n’étaient pas stockés il n’y aurait pas besoin de faire opposition
Pas stockés, INTERCEPTES