La fuite de données au magasin web Allekabels se révèle être un gigantesque piratage

La fuite de données chez Allekabels ne touche pas cinq mille personnes, mais bien 3,6 millions, dont au moins 146.000 Belges.

Début février, Allekabels, un webshop néerlandais également actif en Belgique, informait cinq mille clients d’une fuite de données. Un collaborateur en télétravail aurait dérobé ces données. Peu après, celles-ci circulèrent aussi en ligne. Il s’agissait de noms, adresses mail, adresses postales et parfois de numéros de téléphone et de dates de naissance, mais pas de mots de passe.

Il semble à présent que cela soit faux. Le journaliste d’investigation Daniël Verlaan de RTL a réussi à apprendre que la fuite touche en réalité 3,6 millions de personnes et qu’Allekabels a peut-être passé sciemment sous silence le piratage.

Pour 2,6 millions de personnes, il s’agit de noms, d’adresses mail, d’adresses postales, de dates de naissance et de mots de passe cryptés. Le million restant concerne des clients qui ont commandé chez Allekabels via des magasins web externes (tels Bol.com). Dans ce cas, aucune adresse mail ou de mot de passe n’a pris la clé des champs. Le gisement de données contenait aussi 109.000 numéros IBAN (numéros de comptes bancaires).

Victimes belges

On ignore encore combien de Belges sont précisément concernés par la fuite de données. Mais Verlaan déclare à Data News que 146.000 adresses mail avaient une extension .be dans le gisement de données. Le nombre réel de Belges est donc probablement beaucoup plus élevé, étant donné que les Belges ayant une adresse Gmail ou autre ne sont pas encore comptabilisés.

Communication peu claire

RTL dénonce également l’une ou l’autre imprécision. D’une part, le pirate à l’initiative de la fuite de données déclare qu’Allekabels avait découvert et fermé la porte dérobée en août 2020. Il aurait à l’époque pris contact avec Allekabels, sans obtenir la moindre réponse. Ultérieurement, les données furent cependant proposées à la vente pour 15.000 euros.

Allekabels affirme quant à elle à RTL qu’il s’agit d’une nouvelle information et qu’elle avait en son temps tenté de prendre contact avec le hacker, mais sans succès. L’entreprise précise à présent qu’elle examine elle-même le piratage.

Informés de manière limitée

Mais il y a des indications, selon lesquelles Allekabels savait pertinemment que l’importance du piratage était nettement plus grande. Il semble ainsi que l’entreprise n’a en février informé que les clients ayant utilisé une adresse mail unique chez Allekabels. Gmail entre autres le permet en saisissant par exemple nomd’utilisateur+allekabels@gmail.com.

RTL a appelé une trentaine de personnes et a constaté que celles ayant une adresse mail unique avaient été contactées en février déjà, et les autres pas. Cela prouve bien qu’Allekabels connaissait bien la taille de la fuite de données, mais décida quand même de ne prendre contact qu’avec les gens pour qui un éventuel abus mènerait directement vers la base de données d’Allekabels.

‘Nouveau système’

Data News avait également pris contact en février avec Allekabels à propos de la… mini-fuite initiale. Notre rédaction avait été elle aussi informée alors des soi-disant cinq mille données de clients, mais l’entreprise ajouta aussitôt qu’elle allait installer un nouveau système à la clientèle, avec lequel aucun abus par des collaborateurs ne serait plus possible.

A l’époque, notre rédaction avait jugé qu’il s’agissait là d’une approche intéressante et avait même proposé – une fois que le système serait opérationnel – d’y consacrer un article détaillé. Le responsable de la sécurité chez Allekabels avait alors marqué son accord, mais il n’avait ensuite plus réagi à différents coups de téléphone pour savoir ce qu’il en était.

Update 16/4/21

Allekabels a apporté des informations à ses clients cette nuit et ce matin. Pour les comptes créés avant le 1er septembre 2018, le mot de passe a également été ‘craqué’, ce qui n’est pas le cas pour les clients qui se sont enregistrés par après.

Le site confirme avoir le 23 août 2020 été la victime d’un piratage et en avoir informé l’Autoriteit Persoonsgegevens (l’autorité néerlandaise de protection des données). On ne sait cependant s’il l’a fait ‘directement’ le 23 août ou aujourd’hui, étant donné que le magasin web tombait hier encore des nues au micro de RTL à propos de l’importance du piratage.

Allekabels évoque ‘une minorité de clients’, dont le mot de passe a été décrypté. Mais sur une fuite de données de 3,6 millions de personnes, cela fait encore et toujours une énorme quantité.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire