Un incident de sécurité a eu lieu chez EMMA, le vendeur spécialisé dans la literie. Les données personnelles et bancaires (numéros de carte bancaire, date de validité et CCV) de nombreux clients ont été dérobées.

D’après les informations fournies par EMMA aux clients affectés par cet indicent et les informations données par le PDG de la société au journal britannique TheRegister[1], un programme non autorisé a été injecté dans la page dédiée au paiement par carte bancaire. Ce programme, qui est resté en ligne pendant trois mois, interceptait les données saisies bancaires par les clients.

Les internautes qui ont saisi leurs coordonnées bancaires entre le 27 janvier 2022 et le 22 mars 2022 sur le site EMMA devraient considérer leurs données comme publiques et devraient procéder à l’annulation de leur carte bancaire.

Communiqué d’EMMA envoyé aux clients :

« Nous avons le regret de vous informer qu’Emma - The Sleep Company a été victime d’une cyberattaque ayant entrainé le vol de données personnelles. Dès que nous avons été informés de cette attaque, nous avons immédiatement ouvert une enquête et pris les mesures nécessaires pour assurer la sécurité des données. Malheureusement, à la suite de cette attaque, les informations ayant été volées peuvent comprendre vos données. Nous comprenons que cela puisse vous inquiéter et nous en sommes profondément désolés.

Il s’agissait d’une cyberattaque sophistiquée ciblant le processus de paiement sur notre site web (www.emma.fr) et les informations personnelles renseignées, pouvant inclure les données de carte de crédit ont pu être volées peu importe que vous ayez complété votre achat ou non. Le vol a été signalé aux autorités compétentes, notamment à la police, et une enquête est en cours.

Nous pouvons confirmer que des mesures internes supplémentaires ont été prises afin d’améliorer la sécurité des données, notamment la sécurisation des serveurs compromis, le recours à des spécialistes dans le domaine de la cyber-sécurité, ainsi que la notification et la liaison avec les banques et les fournisseurs de cartes de credit.

Bien que nous n’ayons aucune preuve qu’une quelconque information personnelle ou concernant le paiment ait été utilisée avec succès, nous vous recommandons vivement de contacter votre banque ou votre fournisseur de carte de crédit le plus rapidement possible et de suivre leurs conseils. Vous devriez également vérifier vos relevés bancaires à partir de la date d’achat de votre produit Emma pour vous assurer qu’il n’y ait pas eu d’activités inhabituelles ou suspectes.

Bien qu’Emma utilise les technologies les plus récentes pour se défendre contre de telles attaques, cet exemple montre qu’il existe des personnes motivées, capable de contourner ces technologies. Nous tenons à vous assurer que nous avons sécurisé nos serveurs et que nous continuerons à prendre toutes les mesures nécessaires pour protéger vos données.

Nous regrettons sincèrement que vous vous trouviez dans cette situation en raison de votre intérêt pour Emma - The Sleep Company. »

— Emma, e-mail envoyé aux clients impactés

Notes et références

  1. Le PDG a communiqué des informations sur l’incident au journal The Register (source : theregister.com, en anglais).