Usurpation d’identité : Les sites E-Commerce sensibles
Le commerce électronique en France est en plein essor. En 2023, il a représenté plus de 160 milliards d’euros de chiffre d’affaires, soit 12,5% des ventes totales dans le pays.
Cette croissance fulgurante s’explique par plusieurs facteurs, tels que la commodité des achats en ligne, la diversité des produits proposés et les prix souvent plus attractifs que dans les magasins physiques.
Aujourd’hui, il est difficile d’imaginer notre vie sans le e-commerce. Que ce soit pour acheter des vêtements, des produits électroniques, de la nourriture ou des billets d’avion, nous avons pris l’habitude de tout commander en quelques clics.
Cependant, cette dépendance croissante au commerce électronique s’accompagne d’un risque majeur : les cyberattaques et le vol de données personnelles.
Les plateformes de e-commerce, qu’elles soient des géants mondiaux ou des acteurs locaux, sont de plus en plus la cible d’attaques cybernétiques visant à dérober des informations sensibles telles que les coordonnées des utilisateurs, les données de paiement et les historiques d’achats.
Ces attaques mettent en péril les données personnelles de millions de consommateurs et menacent la confiance dans le e-commerce.
Dans cet article, IDProtect revient sur les sites E-Commerce les plus importants de France, et comment ils ont pu être affectés par des menaces de cybersécurité mettant en péril les informations de leurs clients.
Ebay
Ebay, pionnier du commerce en ligne, a vu le jour en 1995 aux États-Unis. Depuis lors, il est devenu un géant mondial, comptant aujourd’hui plus de 187 millions d’utilisateurs actifs mensuels dans le monde, pour plus de 5 millions d’acheteurs chaque année en France.
Cependant, la nature même de ses transactions entre particuliers et la diversité de ses options de paiement en font une cible de choix pour les usurpateurs d’identité.
En effet, Ebay rassemble une quantité considérable de données personnelles sur ses utilisateurs, telles que leurs noms, adresses, numéros de téléphone et informations de paiement. Ces précieuses informations peuvent être exploitées par des fraudeurs pour créer de faux profils, voler des identités ou effectuer des achats frauduleux.
Ebay propose une variété d’options de paiement, notamment PayPal, les cartes de crédit et les virements bancaires. Cette diversité offre malheureusement aux fraudeurs plusieurs voies pour dérober de l’argent aux utilisateurs.
Bien que Ebay ait mis en place des mesures de sécurité, la vérification de l’identité de tous les utilisateurs reste un défi. Cette lacune permet aux fraudeurs de créer facilement des comptes fictifs et de mener des activités malveillantes en toute impunité. Et comme pour toutes les plateformes en ligne, ces mesures de sécurité n’empêchent pas les cas de vol massif de données par des hackers.
En 2014 notamment, Ebay a été victime d’une fuite de données concernant 147 millions de comptes, exposant ainsi des informations sensibles telles que les noms, adresses, emails, mots de passe et numéros de téléphone.
Liens utiles :
Vous êtes victime d’usurpation d’identité sur Ebay ? Faites-vous accompagner par nos experts !
Amazon
Amazon, figure emblématique du commerce en ligne, a été fondé en 1994 aux États-Unis par Jeff Bezos. Depuis lors, il est devenu un géant mondial, comptant aujourd’hui plus de 300 millions d’utilisateurs actifs mensuels à travers le monde, parcourant quelque 12 millions de produits vendus par Amazon, et plus de 353 millions vendus sur sa marketplace, par des vendeurs tiers. En France, Amazon est le plus grand site E-Commerce, avec 69 % des français qui indiquent avoir acheté sur Amazon au cours des 12 derniers mois.
Toutefois, la popularité d’Amazon en tant que plateforme de commerce électronique attire également l’attention des fraudeurs et des usurpateurs d’identité.
Amazon collecte une vaste gamme de données personnelles sur ses utilisateurs, incluant leurs coordonnées, historiques d’achats, informations de paiement et parfois même des données sensibles comme des adresses de livraison. Avec une multitude d’options de paiement telles que les cartes bancaires, les porte-monnaie électroniques et les cartes cadeaux, Amazon offre une grande flexibilité aux acheteurs, mais constituent autant d’opportunités pour les fraudeurs de s’introduire.
Ainsi, malgré les mesures de sécurité mises en place par Amazon, telle que l’authentification à deux facteurs et la détection de fraudes, le risque zéro n’existe pas, et des cas de fraude et d’usurpation d’identité sont toujours possibles.
Amazon aurait exploité illégalement les données de ses clients, permettant à ses employés d’accéder librement aux historiques d’achats de célébrités et à d’autres informations personnelles sans autorisation. Les vendeurs tiers auraient quant à eux également accès aux données de leurs clients, sans leur autorisation.
Ces pratiques soulèvent des préoccupations quant à la protection de la vie privée et à la sécurité des données des utilisateurs. En plus de faire l’objet d’une amende record pour violation du RGPD, Amazon est sous le feu des enquêtes de la Commission européenne concernant son utilisation des données des vendeurs tiers et ses efforts de lobbying contre les lois de protection des données aux États-Unis.
Liens utiles :
Vous êtes victime d’usurpation d’identité sur Amazon ? Faites-vous accompagner par nos experts !
Cdiscount
Cdiscount, plateforme de commerce électronique française lancée en 1998, est aujourd’hui l’un des principaux acteurs du e-commerce en France, avec des millions d’utilisateurs et des milliers de transactions effectuées quotidiennement. Le site du groupe Casino (depuis 2010) recense quelque 9 millions d’utilisateurs, pour 80 000 000 de produits et 14 000 vendeurs.
Toutefois, en raison de sa popularité croissante, Cdiscount est devenu une cible privilégiée pour les fraudeurs et les usurpateurs d’identité.
Cdiscount collecte une grande quantité d’informations personnelles sur ses utilisateurs, notamment leurs coordonnées, historiques d’achats, données de paiement et informations de livraison. Avec une variété d’options de paiement telles que les cartes bancaires, les paiements en plusieurs fois et les portefeuilles électroniques, Cdiscount offre une grande flexibilité aux acheteurs, mais cela crée autant d’opportunités à exploiter pour les fraudeurs.
Malgré les mesures de sécurité mises en place par Cdiscount, telles que la vérification en deux étapes et la surveillance des transactions suspectes, aucun système n’est infaillible et des cas de fraude et d’usurpation d’identité peuvent survenir.
En 2017, 500 utilisateurs de CDiscount se sont fait dérober des informations confidentielles par des adolescents ayant envoyé des emails faussement identifiés comme provenant de CDiscount, pour un préjudice estimé à 300 000 euros.
En 2021, plus inquiétant encore, un haut responsable de Cdiscount a été mis en examen pour avoir présumément volé des données personnelles de jusqu’à 33 millions de clients, les ayant potentiellement proposées à la vente sur le Darknet. Les données incluent des informations telles que les noms, prénoms, adresses, numéros de téléphone et adresses e-mail des clients, ainsi que le montant total des commandes sur deux ans, mais aucune donnée bancaire n’était concernée.
Liens utiles :
Vous êtes victime d’usurpation d’identité sur CDiscount ? Faites-vous accompagner par nos experts !
Fnac
La Fnac, fondée en 1954 en France, est devenue au fil des années l’une des principales enseignes de distribution de biens culturels, électroniques et de loisirs en Europe, avec une présence significative dans le commerce en ligne. Avec 27 millions de visiteurs par mois sur ses sites E-Commerce, le groupe Fnac-Darty est dans le top 10 des E-Commerce en France.
En raison de sa longévité, de sa large base d’utilisateurs et de sa gamme diversifiée de produits, la Fnac est exposée aux risques de fraude et d’usurpation d’identité. La Fnac collecte diverses informations personnelles sur ses clients, telles que leurs coordonnées, historiques d’achats, données de paiement et préférences d’achat. Comme tous ses confrères, la FNAC propose de multiples options de paiements, dont les cartes bancaires, les chèques cadeaux et les paiements en plusieurs fois. Malgré les efforts déployés par la Fnac pour renforcer la sécurité de ses plateformes en ligne, notamment par le biais de la vérification en deux étapes et de la surveillance des transactions suspectes, le risque 0 n’existe pas.
En 2017 par exemple, des clients de la market place Fnac.com ont été victimes d’arnaques où ils étaient incités à effectuer des virements bancaires par des pirates qui ont piraté les comptes de plusieurs vendeurs. Les pirates ont à l’époque utilisé des techniques de phishing pour obtenir les identifiants des vendeurs, leur permettant de modifier les descriptions des articles pour inciter les clients à effectuer des paiements en dehors de la plateforme sécurisée.
Liens utiles :
- Page FNAC Politique de Protection des Données Personnelles
- Page FNAC Reconnaître le Phishing en un coup d’oeil
Vous êtes victime d’usurpation d’identité sur la FNAC ? Faites-vous accompagner par nos experts !
Vinted
Vinted, à l’origine plateforme de vente de vêtements d’occasion fondée en 2008 en Lituanie, s’est rapidement imposée comme l’une des principales destinations pour l’achat et la vente de tout le marché de la de seconde main en Europe, avec une présence incroyable en France, puisqu’il s’agit là du premier marché pour la marque, avec 23 millions d’utilisateurs. Vinted est actuellement le 2ème plus gros site E-Commerce de France.
Avec une telle croissance et un tel réservoir d’utilisateurs, pas de doute, Vinted est aussi confronté à des défis majeurs en matière de sécurité et de protection des données.
Vinted collecte les informations personnelles habituelles sur ses utilisateurs (coordonnées, historiques d’achats, données de paiement et préférences de vente), en plus des méthodes de paiement (cartes bancaires, virements bancaires, portefeuilles électroniques …).
Vinted est aligné sur les standards de la sécurité des sites e-commerce, telles que la vérification des comptes et la surveillance des transactions suspectes, la double authentification, etc.
En 2023, des clients de Vinted se sont fait voler leurs cagnottes numériques par des pirates informatiques. Les hackers ont obtenu les identifiants de connexion des utilisateurs à partir de données consultées en dehors de la plateforme Vinted. Puis, les pirates ont utilisé ces informations pour vider les porte-monnaie numériques des utilisateurs, qui contenaient parfois jusqu’à plusieurs centaines d’euros. Ils ont également créé de faux comptes pour vendre de faux produits et engranger de l’argent.
Liens utiles :
Vous êtes victime d’usurpation d’identité sur Vinted ? Faites-vous accompagner par nos experts !
Shein
Shein, entreprise de commerce électronique chinoise spécialisée dans la mode rapide, a connu une croissance explosive ces dernières années en France, devenant ainsi le leader des ventes en ligne de mode, et le 3ème site E-Commerce de France. On estime son nombre d’utilisateurs français à plus d’un demi-million.
Cependant, en raison de sa popularité mondiale et de sa nature de plateforme internationale, Shein est une nouvelle proie très attirante pour les hackers qui vont lorgner sur vos informations personnelles (coordonnées, historiques d’achats, données de paiement et préférences de mode.)
En 2018, Shein a été condamné à payer une amende de 1,9 million de dollars dans l’État de New York, après un piratage de données qui a affecté 39 millions d’utilisateurs. La société avait notamment alors omis d’informer la majorité des victimes du piratage, ne prévenant qu’une petite partie d’entre elles.
Plus récemment, en 2024, l’attaque contre Shein par le groupe russe “Mogilevich” a permis aux hackers de voler 300 Go de données sensibles, y compris des informations sur les clients, les transactions et les employés de Shein.
Liens utiles :
Vous êtes victime d’usurpation d’identité sur Shein ? Faites-vous accompagner par nos experts !
Conclusion
En conclusion, les scandales de sécurité et de vol de données sur les sites E-Commerce en France sont malheureusement devenus monnaie courante, affectant des entreprises de toutes tailles et de toutes envergures.
Même les plateformes les plus renommées telles qu’Ebay, Amazon, Cdiscount, Fnac, Vinted et Shein ont été confrontées à des violations de données massives. D’autres sites E-Commerce populaires comme Leboncoin, Leclerc, Lidl, Carrefour, Temu et AliExpress, non mentionnés dans cet article sont d’ailleurs tout autant exposés aux scandales de sécurité et de vol de données, mettant en lumière l’omniprésence de ce problème dans le paysage du commerce électronique.
De part la très forte imbrication de ces sites E-Commerce avec des sites tiers, et avec des codes sources de millions de lignes, les experts en cybersécurité ne pourront jamais garantir le risque 0, et même les utilisateurs les plus avisés ne sont pas à l’abri.
Selon la FEVAD (Fédération du e-commerce et de la vente à distance), le taux de fraude sur les transactions e-commerce en France était de 0,82% en 2022.