Easy Cash victime d’un vol de données, 92 000 clients concernés

Le 25 avril à 14h07

2 min

Sécurité

Spécialisée dans l'achat vente de produits d'occasion et reconditionnés, la chaîne de magasins Easy Cash a alerté cette semaine ses clients d'une fuite de données survenue « sur le poste d'un magasin ».

L'attaque, dont les modalités n'ont pas été précisées, aurait permis la récupération des données personnelles associées à 92 000 clients, ainsi que celles des collaborateurs du magasin. Dans son message aux clients, Easy Cash affirme que les données concernées se limitent à nom, prénom et date de naissance.

« À ce stade, les éléments disponibles ne laissent pas penser que des données bancaires des clients, ou les mots de passe, ou une quelconque information permettant d’accéder aux comptes Easy Cash n’aient été compromises », rassure l'enseigne, qui appelle tout de même à la prudence et conseille à ses clients de modifier leur mot de passe associé à leur compte.

Outre l'information de ses clients, réalisée par SMS, elle indique avoir alerté les autorités compétentes et lancé une« enquête approfondie avec le cabinet OrangeCyberDefense ».

Easy Cash rejoint Indigo, Alain Afflelou, Hertz ou la Mutuelle des motards dans la liste des victimes récentes d'une cyberattaque ayant entraîné la compromission de données personnelles.

Alexandre Laurent

Le 25 avril à 14h07

Commentaires (17)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Timanu69

Le 25/04/2025 à 14h14

le cabinet ~~Orange~~CyberDefense

WanadooCyberDefense pour que les plus vieux pigent.

bilbonsacquet Abonné

Modifié le 25/04/2025 à 15h58

J'aurai plutôt dit PTTCyberDéfense

Recktosaurus Abonné

Le 25/04/2025 à 14h43

Les escrocs revendront-ils ces données à l'enseigne afin de se faire un peu de cash ? L'histoire nous le dira.

Furanku

Le 25/04/2025 à 14h58

J'allais faire une vanne du même type xD

TheKillerOfComputer

Modifié le 25/04/2025 à 20h18

Ce serait un peu d'argent facile

bilbonsacquet Abonné

Le 25/04/2025 à 16h00

sécurité à easycash.fr, est-ce que la boite est bien valide ou c'est encore une erreur de communicant pour qui "securite" et "sécurité" c'est la même chose ?

R4VEN Abonné

Le 25/04/2025 à 16h42

EasyPwned

Jarodd Abonné

Le 25/04/2025 à 17h41

Est-ce qu'on a enfin atteint le nombre critiques de fuites pour interdire la collecte de ces données au chalût, ou on attend encore que d'autres données se retrouvent dans la nature ?

Timanu69

Le 25/04/2025 à 17h57

Chuuut.. tais-toi et rame

TheKillerOfComputer

Le 25/04/2025 à 20h09

A ce rythme il sera plus rapide de lister les entreprises non encore piratées.

La sécurité en France ? Impossible.

SebGF Abonné

Le 26/04/2025 à 10h42

Une entreprise aura beau dépenser des millions en solutions de sécurité IT, si un employé en magasin laisse un PC en accès libre sans surveillance, ça ne servira à rien. Yaka former les employés ? Peut-être, mais quand ils sont 3 dans le mag à tout faire, ça ne changera rien. La priorité, ça reste de faire tourner la boutique.

On peut mettre des verrouillages de poste automatiques, déverrouillage à badge ou clé, certes.

On peut mettre des fermetures de session à 3 minutes d'inactivité aussi.

Mais quand derrière le geste métier en magasin se retrouve dégradé parce que l'employé passe son temps à se reconnecter 30 fois par heures, perd le travail en cours parce que l'ERP est mal branlé (yavaika pas le choisir, oui, bien sûr, mais bon, en ce moment je suis pas sûr que le retail entre deux PSE ait envie de claquer des millions dans un projet de migration), et que l'employé doit aussi s'occuper des clients et du magasin, on apprend à faire avec les contraintes.

Un projet IT ça passe surtout son temps à devoir jongler entre les exigences fonctionnelles et non fonctionnelles. Vu que ce que j'ai pu voir passer, et que j'ai aussi aidé à freiner en matière de conneries sidérales, perso je trouve qu'on s'en sort pas trop mal encore.

wanou Abonné

Le 26/04/2025 à 13h51

Pour le cas de la boutique, il existe cependant des solutions assez simples mais peut-être pas assez implémentées dans les ERP: la limitation du nombre et de la vitesse des requêtes pour les utilisateurs qui n'ont pas le besoin de faire des traitements de masse. C'est vrai en fait pour tous les types d'API.

Mais il est vrai que les ERP sont incroyablement compliqués à paramétrer et au final tous mal foutus (de mon expérience personnelle qui reste limitée). Étrangement, je constate systématiquement les mêmes problèmes dans tous les ERP que j'ai pu côtoyer:
- une base de donnée mal ficelé où les relation sont parfois totalement gérées par un client lourd en java qui réinvente en moins bien les procédures stockées SQL, sans transaction et sans commandes préparées ; Autant tout mettre dans une base Sqlite, ce serait moins cher

(mais cela ne tiendrait pas la charge à priori).
- des outils d'export ou de de traitements multiples horriblement chers et mal foutus : un fort trouble autistique de ces outils pas prévus pour s'intégrer avec les autres outils de l'entreprise ;
- une gestion des stocks incapable de gérer finement les lots, les lieux de stockages multiples, les dates de péremption et d'organiser les flux en FIFO ;
- une gestion débile des nomenclatures matérielles dans lesquelles les repères topologiques sont pas ou mal gérés, entrainant une perte d'information lors des évolutions (cela ne concerne que les produits fabriqués).

SebGF Abonné

Le 26/04/2025 à 14h13

Tout à fait, le retail fait souvent face à une sacré dette technique, voire opérationnelle, à cause d'un SI pas forcément en phase avec les attentes modernes (quand on parle d'EDA y'en a qui sont partis dedans, d'autres qui poussent des hurlements parce que leur SI batch ça marche très bien). C'est aussi un domaine piloté par le métier et la valeur du métier, donc l'IT (qui veut amener de la modernité et de la sécurité) a plus difficilement voix au chapitre. Sans oublier que la conduite du changement a toujours un coût non négligeable (quand il ne créé pas de la grogne syndicale).

En ce qui concerne Easy Cash, ça reste quand même une entreprise pas trop vieille, fondée en 2000, donc son SI ne doit pas avoir accumulé autant de dette et de casseroles que des plus anciens. Et elle se porte plutôt bien financièrement. Néanmoins, ça va très vite et c'est affreusement long à résorber du moment que le métier n'y voit pas la valeur.

fofo9012 Abonné

Le 29/04/2025 à 08h26

Une caisse enregistreuse ayant accès à 92000 clients c'est bien un problème de sécurité de l'IT.
Qui a dit que la sécurité devait reposer uniquement sur le mdp de windows ?
Qu'une caisse enregistreuse ait accès au clients du magasin sans trop de sécurité pourquoi pas. Que tu puisses chercher / sortir toute la France sans auth supplémentaire, y'a un soucis de conception avec le projet informatique...
La "logique" voudrait qu'une recherche d'un client du magasin soit libre y compris sortir une liste, chercher un client en France (qui a oublié sa carte de fidelité) doit imposer deux critères avant de sortir un résultat (ex: nom + téléphone ou ville), ou alors une auth supplémentaire et ne lister que disons 50 résultats sans pagination.
Le reste ne devrait jamais être accessible depuis le PoS y compris avec une connexion avec des droits élevés.

Là si je comprends un poste était resté connecté avec les droits openbar, est un petit malin a réussi a enregistrer un extract des clients ! ça fait beaucoup de cumul d'erreurs !

SebGF Abonné

Le 29/04/2025 à 13h11

On se calme.

L'article ne dit pas que la source de l'incident est une caisse enregistreuse, il cite "le poste d'un magasin".

Tout comme je n'ai jamais dit que ce n'est pas un problème de sécurité IT : c'en est un, j'ai simplement exposé la complexité pour les traiter.

Dans la mesure où je ne peux que spéculer, une hypothèse possible est un poste administratif ou de vendeur (même si je ne suis pas sûr qu'il y en at chez Easy Cash, après j'ai rarement été dedans) utilisé par une personne malveillante. Tout comme la source interne est aussi un risque que la sécurité IT traite. C'est dans ce genre de cas que les audits montrent leur nécessité (c'est, par exemple, ce qui a permis à Kiabi de constituer son dossier de plainte dans l'affaire de fraude arrivée l'année dernière).

Le fait qu'un poste en magasin ait accès au CRM n'est pas surprenant, il faut savoir traiter le cas d'usage d'un client qui vient dans plusieurs sites différents. Au même titre qu'une carte de fid doit marcher partout. Par contre, une extraction massive est censée déclencher une alerte dans un SIEM/SOC. (peut-être que c'est ça qui a alerté)

Mais là aussi je spécule avec les infos de l'article.

Xanatos Abonné

Le 30/04/2025 à 09h45

une extraction massive est censée déclencher une alerte dans un SIEM/SOC. (peut-être que c'est ça qui a alerté)

Alors là on change d'échelle des contrats de service et par extension de budget SI, si budget il y a.
Tel que je le vois avec des sous-traitances en cascade, cela ne va qu'empirer.

SebGF Abonné

Le 30/04/2025 à 12h03

Encore une fois, tout n'est que spéculation. Je ne connais pas leur SI et parle du point de vue de mon expérience avec le retail.

Catégories

Nous Suivre

À propos

Easy Cash victime d’un vol de données, 92 000 clients concernés

Commentaires (17)