Les données clients d'un tiers de la population, piratées aux États-Unis
Après Target et ses 110 millions de fichiers clients volés pendant les fêtes, c'est au tour de Nieman Marcus d'annoncer le vol de plus d'un million de données de cartes bancaires. Un scénario catastrophe qui a de sérieuses répercussions sur la relation entre le point de vente et ses clients.
Je m'abonneLa prestigieuse chaîne de magasins haut de gamme Nieman Marcus, qui gère 77 points de vente, possède le grand magasin de luxe Bergdorf Goodman, à New York, et livre certains articles en France, vient d'annoncer un vol de données bancaires très important. À ce jour, les pirates auraient dérobé plus d'un million de données de cartes de débit et crédit appartenant à ses clients. Pire encore, alors que les vols ont commencé en juillet dernier, Nieman Marcus n'en a pris conscience que mi-décembre.
Le plus gros piratage connu
Depuis décembre dernier, Target, troisième chaîne de distribution américaine, multiplie les annonces de plus en plus alarmistes sur des vols de données bancaires et personnelles. Vols d'abord passés inaperçus avant d'enfler au point d'atteindre 110 millions de clients, soit près du tiers de la population américaine. C'est à ce jour le plus important piratage connu de données clients. Les voleurs ont profité du pic d'achats de la période des fêtes, qui commence fin novembre aux États-Unis, juste après Thanksgiving, pour récolter le plus grand nombre possible d'informations via les passages en caisses.
Et ce n'est pas fini. D'autres chaînes, comme Nordstrom, viennent d'annoncer des vols de données clients, certes de bien moindre importance, mais dans tous les cas, les voleurs ont procédé de la même manière : pirater les caisses pour lire les données stockées sur la bande magnétique au dos des cartes bancaires. Les sociétés américaines de sécurité informatique, qui se sont exprimées ces jours-ci dans la presse locale, ne peuvent pas garantir que ce sont les mêmes hackers qui sévissent depuis plusieurs mois, mais ils s'accordent à désigner des filières de cyber-criminels venues d'Europe de l'Est.
Des clients devenus méfiants
À la différence des cartes bancaires européennes, les cartes américaines ne sont pas équipées de puces, ce qui rend leurs informations bien plus faciles à dérober. Et les clients commencent à prendre conscience que ce choix fût délibéré. En effet, la distribution américaine aurait freiné de tout son poids la modernisation des cartes pour des raisons de coût : l'adaptation des terminaux à la lecture des puces aurait coûté bien plus cher que les frais liés au piratage. Sauf que celui-ci atteint des proportions telles que les coûts s'envolent, et que les clients ont clairement fait comprendre aux distributeurs que si ces derniers n'étaient pas capables d'assurer la sécurité de leurs données, ils iraient tout simplement faire leur shopping ailleurs. Et ce n'est pas la réaction plutôt molle de Target qui va leur redonner confiance. Le CEO a bien fait parvenir un courriel d'explication à tous les clients, mais seulement le 16 janvier dernier. Une rubrique d'information a bien été ouverte sur le site, mais les réponses aux questions les plus fréquemment posées sont souvent vagues. Le principal geste commercial de l'enseigne consiste à offrir aux clients concernés une année de suivi de crédit bancaire et une assistance en cas de vol d'identité par un organisme spécialisé (Nieman Marcus fait de même). Enfin,Target annonce qu'il va investir 5 millions de dollars dans un collectif destiné à améliorer la cyber-sécurité. Un premier pas intéressant, mais sera-t-il suffisant?
La France, mieux protégée ?
À tout seigneur, tout honneur : pays de Roland Moreno, l'inventeur en 1974 de la carte à puce, la France est équipée de ce système de stockage de données, bien plus sûr que la bande magnétique. D'après le cabinet de conseil américain Celent, les pays qui ont adopté cette technologie ont vu les cas de fraudes à la carte bancaire diminuer de 57% depuis 2002. Alors qu'aux États-Unis, la fraude a augmenté de 70% entre 2004 et 2010 ! Mais la puce n'est pas infaillible, et même si la fraude informatique en général baisse en Europe, l'utilisation frauduleuse de numéros de cartes bancaires sur le Net augmente. Une solution : la clé unique, c'est-à-dire associer à chaque transaction son code unique de sécurité. En cas de vol, il devient difficile pour les malfrats d'effectuer des achats répétés. Mais pas impossible...