Fuite massive des données de salariés chez Decathlon

« Mis au courant du problème le 12 avril, Decathlon a fait fermer la plate-forme de stockage le 14 avril et a entrepris une analyse d’impact. »

Après Facebook, LinkedIn et consorts, c’est au tour de l’enseigne de sport française Decathlon de rejoindre la longue liste des entreprises accusées d’avoir laissé fuiter des données. Sur son blog, la société de cybersécurité VpnMentor révèle que des informations personnelles d’employés de Decathlon insuffisamment protégées se sont retrouvées exposées sur le web.

Recueillies dans le cadre d’un projet d’intelligence collaborative impliquant 92 000 collaborateurs, clients et partenaires, ces données étaient conservées dans un espace de stockage géré par Bluenove, un prestataire de l’enseigne de sport. Dans le cadre d’un « piratage éthique » visant à détecter des données laissées en libre accès par leur propriétaire, ces informations ont pu être consultées sans difficulté par les équipes de VpnMentor. Selon leurs constatations, Bluenove n’avait pas suffisamment sécurisé l’accès au serveur contenant ces informations.

Lire aussi Sur Facebook, LinkedIn, Clubhouse… des fuites de données personnelles très problématiques

Les fichiers récupérés par VpnMentor contenaient les réponses de 193 salariés au sondage. Mais aussi des informations personnelles de collaborateurs et de clients, sans lien apparent, tels que des noms, des numéros de téléphone et des mails. Autant d’informations dont des pirates auraient pu s’emparer à des fins de fraude ou d’attaque par le biais d’un virus, note VpnMentor. Au total, ce sont les données de pas moins de 7 883 personnes qui se sont retrouvées exposées. La société de cybersécurité estime que près de 10 % de l’effectif de Decathlon est concerné par cette faille.

Déjà en 2020

« En combinant les données personnelles, les informations tirées du sondage et d’autres détails exposés, des pirates auraient pu monter des campagnes d’hameçonnage par mail et par téléphone très efficaces, en se faisant passer pour Bluenove ou Decathlon », note l’équipe de VpnMentor dans son compte rendu. Des campagnes qui leur auraient permis de soutirer à leurs victimes d’autres données sensibles, telles que leurs informations bancaires.

Article réservé à nos abonnés Lire aussi De délégué à « influenceur » syndical

Ce n’est pas la première fois que Decathlon se voit pointé du doigt dans une histoire de ce genre : VpnMentor, qui s’est fait une spécialité de débusquer les potentielles fuites de données, avait déjà mis en lumière une affaire similaire, impliquant majoritairement des salariés espagnols de l’enseigne de sport, en février 2020. Numéro de Sécurité sociale, de téléphone portable, informations sur les contrats de travail des salariés… Suite à la faille d’un serveur, ces informations hautement sensibles s’étaient retrouvées à la portée de n’importe quel pirate.

Il vous reste 24.89% de cet article à lire. La suite est réservée aux abonnés.