Le site d’e-commerce Cdiscount.com a rencontré un incident de sécurité sur ses systèmes informatiques le 29 janvier 2021. Certaines données de ses clients ont été copiées et volées, notamment :

  • le nom et prénom des clients ;
  • l’adresse personnelle des clients ;
  • l’adresse e-mail des clients ;
  • le numéro de téléphone des clients ;
  • le montant total des commandes des deux dernières années.

Cdiscount a indiqué dans un communiqué qu’un cadre de l’entreprise, disposant d’autorisations légitimes, serait à l’origine de cet incident.

Les internautes qui ont eu un compte sur Cdiscount.com à la date du 29/01/2021 doivent donc considérer leurs données comme perdues. Ces données peuvent être acquises et utilisées par des tiers malintentionnés.

Communiqué de Cdiscount du 06/02/2021 :

« Le 29 janvier 2021, les services de cybersécurité de Cdiscount ont détecté que l’entreprise avait été visée par un acte de malveillance interne et isolé se traduisant par un vol de données. Ils y ont rapidement mis fin dès la constatation de cet acte. Cdiscount a immédiatement entrepris des mesures d’investigation pour en identifier la source.

L’enquête interne a démontré qu’il n’y avait eu aucune intrusion externe et qu’il s’agissait d’une action malveillante interne isolée. Elle émanerait d’un cadre de l’organisation disposant des autorisations légitimes compte tenu de ses fonctions. En aucun cas il ne s’agit donc d’une défaillance des systèmes de sécurité de l’entreprise.

Cdiscount tient à souligner que les données bancaires de ses clients ne sont en aucun cas concernées par cet événement, l’entreprise ne stockant aucune donnée bancaire. Les données concernées par cet acte malveillant sont les nom, prénom, sexe, adresse personnelle, mail, téléphone et le montant total des commandes de ces deux dernières années.

À ce stade de l’enquête, aucun élément ne permet de confirmer que ces données aient été vendues. L’utilisation des données concernées peut être la tentative de phishing ou de prospection commerciale non désirée. Cdiscount recommande, d’ailleurs, à ses clients la plus grande vigilance, les incitant fortement à ne jamais communiquer leurs données bancaires ni mot de passe par SMS ou e-mail. Afin de les aider à repérer les tentatives de phishing, une page dédiée à la protection des données est accessible depuis l’espace client.

Cdiscount a immédiatement déposé plainte pour « vol et maintien frauduleux dans un système de traitement automatisé de données » auprès du Parquet de Bordeaux qui a saisi la brigade de lutte contre la cybercriminalité de la Police judiciaire. L’entreprise a d’ores et déjà décidé de se constituer partie civile par la voie de ses avocats. Elle a par ailleurs notifié cet événement à la [CNIL].

Cet acte isolé ne remet pas en cause la sécurité du site Cdiscount.com. Les transactions demeurent pleinement sécurisées.

Cdiscount fait de la protection des données personnelles de ses clients une priorité absolue. »

— Communiqué de Cdiscount, 06/02/2021