Shein condamné pour n'avoir pas prévenu ses utilisateurs d'un vol de données bancaires #544

18/10/2022

L’entreprise chinoise va devoir payer une amende de 1.9 million de dollars après cette fuite de données. Près de 40 millions d’utilisateurs n’auraient pas été prévenus.

Alors que Shein continue de séduire toujours plus de consommateurs à travers le monde, le tribunal de New York a condamné le groupe Zoetop, auquel appartient Shein mais aussi l’autre marque de fast-fashion Romwe, pour une infraction concernant l’utilisation des données de ses utilisateurs. Les faits remontent à 2018. A l’époque, Shein avait été victime d’une cyber-attaque entraînant le vol des identifiants et coordonnées bancaires de 39 millions d’utilisateurs. 7 millions d’utilisateurs de Romwe avaient également été impactés.

Un vol bien caché par l’entreprise

Le tribunal new-yorkais et la procureure générale Letitia James ont donc décidé de condamner Zoetop pour un manquement à la protection des données des utilisateurs. Zoetop a menti à l’époque de cette cyberattaque en affirmant que « seulement » 6.42 millions d’utilisateurs avaient été touchés. Le groupe n’avait pas pris de mesures adéquates pour protéger les comptes concernés après ce vol de données.

Suite à la cyberattaque, le groupe Zoetop avait engagé une société externe spécialisée dans la cybersécurité pour comprendre comment le vol de données avait été réalisé. Les hackers avaient alors réussi à accéder au réseau interne de Zoetop et avaient modifié le code responsable du traitement des transactions des clients. Cela avait permis de récupérer les coordonnées bancaires de millions de clients. Les noms, adresses e-mail et mots de passe avaient également été interceptés.

En ce qui concerne la plateforme Romwe, l’entreprise spécialisée dans la cybersécurité a également révélé que des millions de comptes clients du site avaient été rendus disponibles sur le dark web en 2020, soit deux ans après la cyberattaque. Zoetop avait alors réinitialisé tous les mots de passe des utilisateurs concernés.

La décision du tribunal arrive quatre ans après la cyberattaque. Cela s’explique par le fait que l’état de New York ne notifie pas publiquement les infractions relatives aux données, comme le font la Californie ou le Maine.

Des failles à régler

Le groupe Zoetop doit désormais être plus rigoureux en matière de protection des données. Jusqu’en août 2018, l’entreprise utilisait un algorithme connu pour être insuffisant pour protéger les mots de passe des clients. Le géant chinois avait également mal configuré ses systèmes de stockage de coordonnées bancaires, rendant plus facile le piratage.

En plus de sa condamnation, le groupe Zoetop a été sommé par le tribunal de renforcer ses systèmes de sécurité: « Zoetop doit maintenir un programme complet de sécurité des informations comprenant un hachage robuste des mots de passe des clients, une surveillance du réseau pour les activités suspectes, une analyse des vulnérabilités du réseau et des politiques de réponse aux incidents nécessitant une enquête en temps opportun, un avis aux consommateurs en temps opportun et une réinitialisation rapide des mots de passe. » a indiqué Letitia James dans son rapport.

Sur son site Internet, Shein montre toutefois toujours des signes de partages très libres des données des utilisateurs. « Vos données personnelles sont collectées et utilisées par nous pour soutenir une série d’activités ou d’objectifs commerciaux différents. » explique la page consacrée au partage des données personnelles, qui dévoile également la longue liste de prestataires susceptibles de récupérer les informations des utilisateurs.

Cette faille ne devrait toutefois pas entacher les affaires de Shein, qui affiche des records de ventes et de popularité partout dans le monde, y compris en France. Le site de vêtements à bas prix attire chaque mois plus de 10 millions de visiteurs uniques dans l’Hexagone.

BFM