Pourquoi un ingénieur des Mines, cadre dirigeant de CDiscount à Cestas, a-t-il disparu de Linkedin ?

Vol du fichier des clients de CDiscount à l’entrepôt de Cestas. Pourquoi L…B……t, ingénieur brillant a-t-il été, aurait-il été tenté de hacker des données confidentielles, le fichier clients de son employeur ?

Marié, père de famille, domicilié à Gradignan, le directeur logistique des entrepôts de CDiscount a désactivé son compte Linkedin, ne répond plus aux mails. Officiellement, le groupe qui l’emploie ne confirme pas l’identité du cadre qui lui aurait dérobé, grâce aux autorisations dont il dispose, un fichier de 33 millions de clients, renseigné de données qui lui donnent une certaine valeur sur le dark web.

C’est une enquête passionnante -et qui sera certainement amenée à rebondir- qu’ont entamée les enquêteurs de la PJ de Bordeaux (groupe de lutte contre la Cybercriminalité) : le leader français du e-commerce, CDiscount, celui qui est amené, pour livrer des millions de colis, à collecter et partager avec des tiers les adresses de livraison, des digicodes, des données de paiement, a indiqué, fin de semaine passée, que l’un des cadres de son entité logistique, située à Cestas, aurait dérobé un  fichier client de 33 millions de clients. Depuis, fidèle à sa discrétion, la filiale de Cnova n’a publié qu’un communiqué, ne confirme pas l’identité du cadre mais partage suffisamment d’informations pour que l’on comprenne que l’affaire est circonscrite. On peut comprendre l’intérêt de l’entreprise : déjà concerné dans le passé* par quelques opérations de pishing, de tentatives d’intrusion dans ses fichiers, de rappels à l’ordre pour sérieux manquements sur la sécurité de ses données (en 2016), le numéro 1 français du e-commerce a tenu à faire savoir : que l’enquête avait été diligentée et déclenchée par ses propres services de cyber sécurité et de conformité ; que l’acte aurait été isolé et n’aurait pas permis à d’éventuels acquéreurs de s’emparer des données bancaires.

*En 2016, la CNIL avait expressément demandé à l’entreprise de prendre des mesures plus significatives concernant la sécurité des données qu’elle est amenée à recueillir ; elle a ensuite considéré que CDiscount avait pris les mesures adéquates.

Va-t-on vite en besogne ?

Peut-être. Pourquoi un cadre dirigeant, suffisamment digne de confiance pour que le groupe accepte de le faire témoigner dans des vidéos (voir l’une de celles-ci, ci-après) et lui autorise l’accès à l’or noir dans le commerce moderne -le fichier des clients- aurait-il été séduit par la perspective de récupérer une somme de 20 000 dollars (la somme correspondant au prix de vente proposé du fichier sur le dark web) tout en laissant des indices confondants chez lui ? « Ça peut étonner, mais c’est statistiquement ce qui arrive très fréquemment, indique le dirigeant d’une des deux entreprises de cybersécurité les plus réputées de France. Les failles sont humaines et les vols ou pertes sont souvent le fait du personnel. Casino et notamment son entité Cnova ont des équipes expertes dans le domaine et y consacrent de vrais moyens ».

Quand et où débute le vol des données quand on fait du “commerce” avec ses fichiers clients ?

Partager avec des tiers, dans le cadre de ce qu’on appelle des ventes affinitaires, ses données clients, est-ce du vol ou la forme moderne du commerce ? Bon expert de ce marché, Florian Bardey, qui dirige Affinicia précise en effet que « quantité de données issues des fichiers de clients de la VPC sont louées ou revendues à des fournisseurs d’énergie, des sociétés de déménagement, des assureurs, des installateurs de chaudières..  Notre métier est précisément soit de collecter ces données, par nos propres moyens, soit de prendre en régie les données de tiers sur lesquelles nous allons mener des actions de push marketing,  des appels commerciaux etc ». Les cédants de ces fichiers doivent faire savoir aux internautes qui visitent leur site web de la cession possible de ces données, recueillir leur accord explicite. Le font-ils vraiment, toujours ? Les gendarmes de la CNIL, de la DGCCRF sont les arbitres de ces pratiques mais leurs moyens limités et le caractère astucieux de ces recueils de données rend le jeu du chat et de la souris souvent inégal. Les marges, réduites dans le e-commerce, incitent à valoriser tout ce qui peut l’être. Mais on peut également pratiquer ce métier de façon très rigoureuse, ce que fait par exemple Tagadamedia, leader en France de la location de fichiers intentionnistes.

Parvenu à ce stade, et comme il faut bien rire un peu, en attendant l’issue de l’enquête et compte tenu du contexte :), le service Fact-Checking d’En-Contact,(largement étoffé de 4 stagiaires bien équipés en Cacolac et de deux spécialistes du Bug Bounty ) a émis quelques hypothèses et suggéré quelques questions : le directeur de l’entrepôt pouvait-il  être en mission infiltrée dans le cadre de la mission Choiseul for good (une initiative conjointe de la plateforme Malt et de l’institut Choiseul-qui classe chaque année des personnalités prometteuses du monde de l’entreprise ) et Hiatus 59 n’aurait pas eu le temps de le signifier aux enquêteurs ? S’agissait-il d’un nouveau partenariat Doctolib-Cnova, afin de proposer une version premium autorisant des rendez-vous accélérés pour le vaccin avec intervention à domicile, le tout mené dans un mode POC (proof of concept) ? La direction financière n’ayant pas validé le budget de 245, 20 euros du POC, le cadre aurait pris des initiatives; et nous savons qu’il avait suivi un séminaire sur le thème Agilité dans le e-business MAIS qu’il en avait raté la dernière séquence, dédiée à l’éthique (au service enquêtes du magazine, nous sommes heureux d’accueillir des diplômés de la FEMIS ayant suivi l’atelier scénario).

A l’appui de cette hypothèse, le stagiaire numéro 3 avait rappelé que Doctolib place sur son moteur de recherche les coordonnées de médecins (le gynécologue Dr Benchimol est l’un de ceux qui est très en colère) pourtant non adhérents à son service, afin de créer du trafic sur leur site et que donc peut-être, il convenait de revisiter le concept du vol. On le faisait bien ces derniers temps pour le viol, le consentement etc. Nb: Le stagiaire 3 a fait Sciences-Po, le CFA Mederic, l’Ensae mais il attend la réponse de ses candidatures après 23 entretiens chez Lauréalle, une procédure de recrutement entamée en 2017. Nous avons donc prolongé son stage afin qu’il puisse disposer, au moins, de tarifs d’abonnement réduits à la Revue des Deux Mondes.

Le directeur de la BU Fact-Checking, très gravement déprimé depuis la fermeture des cinémas et notamment depuis trop longtemps de la Pagode, lui même stagiaire mais avec double ration de tickets restau, avait alors brandi un DVD en criant : j’ai trouvé! Le directeur de l’entrepôt a trouvé au fond des travées à Cestas le DVD du film Ceux qui travaillent (un film de Antoine Russbach); il s’est identifié au personnage d’Olivier Gourmet (dans ce film FRANCAIS, un cadre supérieur d’une grande compagnie maritime, drogué du travail et qui doit faire face à une situation de crise prend seul et dans l’urgence une décision qui va lui coûter son poste. Passionnant !). Nb: le directeur de la BU n’a jamais digéré le refus de financement de sa thèse à l’EHESS sur Pratiques dolosives de l’ultra communication  à l’époque du Next 40. Il possède sur le sujet une bibliothèque de DVD et livres rares digne de la BNF.

Il était 23h45 et grand temps, après ces suggestions pertinentes mais dont on savait qu’elles n’avaient aucune chance d’être traitées rapidement et aussi vite que l’enquête menée par la RSSI de Cdiscount, de photocopier les autorisations diverses et autres laisser-passer et de toute façon, on n’avait pas répondu aux questions initiales : qui peut désactiver et pourquoi désactive t’on, un jour, son compte Linkedin ? Où commence le vol, qu’est ce qui le sépare du parasitisme commercial, de l’Adwords placé et acheté au nom d’une entreprise concurrente ?

Le desk Eco et Police Justice avait donc intimé la fin de la rédaction de l’article et sa transmission rapide au service web.

L’enjeu des pertes ou vol de données pour les marques et les entreprises

PB, avocat d’un cabinet parisien réputé, souligne ce qui est peut-être le point le plus important dans ce dossier : « Si l’entreprise s’est fait voler un fichier de ce type, que l’acte est le fait d’un individu qui s’est mis hors la loi, elle n’a rien à se reprocher, elle peut même se féliciter du travail de ses équipes RSSI et de compliance si et lorsqu’elles ont découvert la fraude. Mais si elle a été négligente, tous ses clients peuvent lui demander des éléments attestant que leurs données n’ont pas été piratées, en se fondant sur le premier vol. Et là, tant la réputation que le cours de bourse ont de fortes chances d’être endommagées »

On lira avec intérêt la suite de notre enquête sur l’affaire de l’entrepôt de Cestas dans le numéro 119 du magazine, qui sortira le 23 février et le livre sur Uber : Super Gonflé, Uber, qu’on a adoré. Une demi-douzaine de chapitres y est consacrée à des vols de données. Le Growth Hacking nécessite parfois de pirater des fichiers… Tout le monde le pratique peu ou prou, ce qu’il faut, comme disait mon ancien chef, c’est ne pas se faire attraper !

Par la rédaction d’En-Contact