Au moins 12 millions de comptes eBay ont été hackés en France
On savait qu'eBay avait été victime d'une importante cyberattaque et conseillait à ses utilisateurs de modifier leur mot de passe. On réalise maintenant l'ampleur du désastre : c'est à l'ensemble de ses utilisateurs que la plateforme d'e-commerce a adressé cette demande. Combien sont-ils ? En mai, eBay revendiquait 145 millions de comptes actifs dans le monde, c'est-à-dire ayant acheté ou vendu sur le site dans les 12 mois précédents. Au total, 233 millions de personnes possèderaient un compte eBay. Si la base utilisateurs copiée par les hackers entre la fin février et le début du mois de mars contient, comme c'est probable, la totalité des comptes eBay dans le monde, actifs ou non, cette cyberattaque est alors l'une des plus conséquentes jamais survenues en nombre de comptes hackés.
Et en France ? Contacté par le JDN, eBay refuse d'indiquer le nombre de comptes utilisateurs dans le pays et se borne à rappeler son audience : entre 8 et 9 millions de visiteurs uniques par mois selon Médiamétrie. On peut toutefois estimer entre 12 et 14 millions le nombre de comptes actifs dans l'Hexagone, plus une quantité significative de comptes inactifs, eBay étant beaucoup sorti des habitudes des consommateurs depuis 3 ou 4 ans.
Concrètement, c'est en mettant la main sur les identifiants d'un salarié d'eBay que les hackers se sont connectés aux serveurs en question et grâce à ses mots de passe internes qu'ils ont pu accéder aux informations et les télécharger. Les mots de passe des comptes eBay font bien partie des données chapardées, mais l'Américain précise qu'ils étaient cryptés et ont peu de chances d'être déchiffrés par les hackers. Sauf que demander à ses utilisateurs de modifier leur password est en réalité souvent le signe qu'il existe une bonne chance que les hackers les décryptent. "Rien n'indique un impact sur des clients d'eBay", a en tout cas affirmé sa porte-parole Amanda Miller à Reuters. La base de données utilisateurs copiée par les hackers contenait également les adresses email, dates de naissances, adresses de livraison, numéros de téléphone et d'autres informations personnelles, mais ni les numéros de carte bancaire ni aucune autre donnée de paiement.
La cyberattaque a été détectée plus de deux mois après les faits
eBay a admis avoir découvert le pot aux roses il y a environ deux semaines, en détectant la compromission des identifiants de certains de ses salariés. "Grâce à une investigation numérique minutieuse, eBay a pu par la suite identifier la base de données concernée," indique dans un communiqué la société. Qui ajoute n'avoir remarqué aucune augmentation de l'activité frauduleuse sur son site. Elle ne soupçonne par ailleurs aucun accès non autorisé aux informations financières et confidentielles des utilisateurs PayPal. "Les données de PayPal sont enregistrées séparément sur un réseau sécurisé et toutes les informations financières de PayPal sont cryptées", souligne-t-elle.
Le risque d'activités criminelles utilisant ces données est cependant loin d'être nul : nombre de services, online ou téléphoniques, bancaires notamment, demandent par exemple l'adresse postale et la date de naissance pour confirmer l'identité d'un client. En outre, nombreux sont les internautes qui utilisent le même mot de passe pour eBay et pour d'autres services en ligne. Dans l'hypothèse où les trois mois entre la cyberattaque et sa révélation auraient permis aux hackers de décrypter les mots de passe volés, des utilisateurs mal intentionnés auraient donc très bien pu essayer aussi de se connecter à d'autres plateformes sous l'identité de leurs victimes.